Perisian Hasad PipeMagic
Penyelidik telah menemui kelemahan keselamatan yang telah ditambal sekarang dalam Sistem Fail Log Biasa Windows (CLFS) yang dieksploitasi secara aktif sebagai serangan sifar hari. Kelemahan ini digunakan dalam kempen perisian tebusan yang menyasarkan organisasi tertentu merentas pelbagai industri, termasuk sektor IT dan hartanah di Amerika Syarikat, institusi kewangan di Venezuela, syarikat perisian Sepanyol dan perniagaan runcit di Arab Saudi.
Isi kandungan
Memahami CVE-2025-29824
Dikenal pasti sebagai CVE-2025-29824, kerentanan ini ialah kecacatan peningkatan keistimewaan dalam CLFS yang membolehkan penyerang memperoleh keistimewaan peringkat SYSTEM. Microsoft menangani dan menambal isu semasa kemas kini April 2025 Patch Tuesday. Kumpulan penjenayah siber di sebalik serangan ini, yang dijejaki di bawah nama Storm-2460, menggunakan strain malware yang dipanggil PipeMagic untuk mengeksploitasi kelemahan keselamatan dan menggunakan muatan perisian tebusan.
Bagaimana Serangan Terjadi
Walaupun kaedah akses awal yang tepat masih tidak diketahui, penyelidik mendapati bahawa penyerang menggunakan utiliti sijil untuk memuat turun perisian hasad daripada tapak web pihak ketiga yang terjejas. Malware, fail MSBuild yang mengancam, mengandungi muatan yang disulitkan yang, setelah dilaksanakan, melancarkan PipeMagic. Trojan berasaskan pemalam ini, yang telah aktif sejak 2022, memainkan peranan penting dalam memudahkan serangan.
Ini bukan contoh pertama PipeMagic digunakan dalam eksploitasi sifar hari. Sebelum ini, ia menyalahgunakan CVE-2025-24983, kecacatan peningkatan keistimewaan Windows Win32 Kernel Subsystem. Ia juga telah dikaitkan dengan serangan perisian tebusan Nokoyawa yang mengeksploitasi satu lagi kerentanan sifar hari CLFS, CVE-2023-28252. Selain itu, pakar keselamatan siber melaporkan bahawa dalam serangan awal yang dikaitkan dengan pelakon ancaman yang sama, PipeMagic telah digunakan melalui skrip MSBuild sebelum mengeksploitasi kerentanan keistimewaan CLFS.
Eksploitasi dan Kesannya
Serangan secara eksplisit menyasarkan kelemahan dalam pemacu kernel CLFS. Dengan mengeksploitasi kerosakan memori dan menggunakan API RtlSetAllBits, penyerang menimpa token proses eksploit dengan 0xFFFFFFFF, memberikan keistimewaan penuh. Ini membolehkan mereka menyuntik proses yang tidak selamat ke dalam proses SISTEM, dengan berkesan mengawal mesin yang dijangkiti. Berikutan eksploitasi yang berjaya, pelakon ancaman mengekstrak kelayakan pengguna dengan membuang memori LSASS dan menyulitkan fail sistem dengan sambungan yang dijana secara rawak. Nota tebusan yang mengandungi domain TOR yang dipautkan kepada keluarga perisian tebusan RansomEXX kemudiannya digugurkan.
Langkah Keselamatan dan Pertahanan
Walaupun keterukan serangan itu, Windows 11, versi 24H2, tidak terjejas oleh eksploitasi khusus ini. Ini disebabkan oleh sekatan keselamatan yang diletakkan pada Kelas Maklumat Sistem tertentu dalam NtQuerySystemInformation, yang mengehadkan akses kepada pengguna dengan SeDebugPrivilege, kebenaran biasanya diberikan hanya kepada pengguna pentadbiran.
Pelakon perisian tebusan terus mengutamakan peningkatan keistimewaan selepas kompromi, kerana ia membolehkan mereka mengubah akses awal kepada kawalan yang lebih luas dalam rangkaian. Dengan memanfaatkan eksploitasi seperti CVE-2025-29824, mereka boleh meningkatkan jangkauan mereka, memperoleh akses istimewa dan menggunakan perisian tebusan dengan impak yang dahsyat. Organisasi mesti sentiasa berwaspada, menggunakan tampung keselamatan dengan segera, memantau aktiviti sistem yang luar biasa, dan menguatkuasakan kawalan akses yang kuat untuk mengurangkan risiko yang ditimbulkan oleh ancaman siber yang berkembang sedemikian.
Video Perisian Hasad PipeMagic
Petua: HIDUPKAN bunyi anda dan tonton video dalam mod Skrin Penuh .
