PipeMagic skadelig programvare

Med Mezo i Skadelig programvare, Sårbarhet

Oversett til:

Forskere har avdekket et sikkerhetsproblem som nå er rettet i Windows Common Log File System (CLFS) som aktivt ble utnyttet som et nulldagers angrep. Denne feilen ble brukt i løsepengevarekampanjer rettet mot spesifikke organisasjoner på tvers av flere bransjer, inkludert IT- og eiendomssektorer i USA, finansinstitusjoner i Venezuela, et spansk programvareselskap og detaljhandel i Saudi-Arabia.

Innholdsfortegnelse

Forstå CVE-2025-29824

Identifisert som CVE-2025-29824, er dette sikkerhetsproblemet en privilegieeskaleringsfeil i CLFS som lar angripere få privilegier på SYSTEM-nivå. Microsoft adresserte og korrigerte problemet under oppdateringen av Patch Tuesday i april 2025. Den nettkriminelle gruppen bak disse angrepene, sporet under navnet Storm-2460, distribuerte en malware-stamme kalt PipeMagic for å utnytte sikkerhetssårbarheten og distribuere løsepenger.

Hvordan angrepet utviklet seg

Mens den nøyaktige metoden for førstegangstilgang forblir ukjent, observerte forskere at angriperne brukte cert-verktøyet til å laste ned skadelig programvare fra et kompromittert tredjepartsnettsted. Skadevaren, en truende MSBuild-fil, inneholdt en kryptert nyttelast som, når den ble utført, startet PipeMagic. Denne plugin-baserte trojaneren, som har vært aktiv siden 2022, spilte en sentral rolle i å lette angrepet.

Dette er ikke den første forekomsten av PipeMagic som brukes i nulldagers utnyttelser. Tidligere misbrukte den CVE-2025-24983, en feil ved eskalering av rettigheter i Windows Win32 Kernel Subsystem. Det har også vært assosiert med Nokoyawa-ransomware-angrep som utnyttet en annen CLFS zero-day sårbarhet, CVE-2023-28252. I tillegg rapporterte cybersikkerhetseksperter at i tidligere angrep tilskrevet den samme trusselaktøren, ble PipeMagic distribuert gjennom et MSBuild-skript før de utnyttet CLFS-sårbarheten for rettighetsutvidelse.

Utnyttelse og dens innvirkning

Angrepet retter seg eksplisitt mot en sårbarhet i CLFS-kjernedriveren. Ved å utnytte minnekorrupsjon og bruke RtlSetAllBits API, overskriver angriperne utnyttelsesprosessens token med 0xFFFFFFFF, og gir fulle privilegier. Dette lar dem injisere usikre prosesser i SYSTEM-prosesser, og effektivt ta kontroll over den infiserte maskinen. Etter vellykket utnyttelse trekker trusselaktørene ut brukerlegitimasjon ved å dumpe LSASS-minne og kryptere systemfiler med en tilfeldig generert utvidelse. En løsepengenotat som inneholder et TOR-domene knyttet til RansomEXX løsepengevarefamilien, blir deretter droppet.

Sikkerhetstiltak og forsvar

Til tross for alvorlighetsgraden av angrepet er ikke Windows 11, versjon 24H2, påvirket av denne spesifikke utnyttelsen. Dette er på grunn av sikkerhetsbegrensninger plassert på bestemte systeminformasjonsklasser i NtQuerySystemInformation, som begrenser tilgang til brukere med SeDebugPrivilege, tillatelse som vanligvis bare gis til administrative brukere.

Ransomware-aktører fortsetter å prioritere opptrapping av rettigheter etter kompromisser, siden det gjør dem i stand til å transformere innledende tilgang til bredere kontroll innenfor et nettverk. Ved å utnytte utnyttelser som CVE-2025-29824, kan de eskalere rekkevidden, få privilegert tilgang og distribuere løsepengevare med ødeleggende virkning. Organisasjoner må være på vakt, ta i bruk sikkerhetsoppdateringer umiddelbart, overvåke for uvanlig systemaktivitet og håndheve sterke tilgangskontroller for å redusere risikoen ved slike utviklende cybertrusler.