PipeMagic-malware

Tegen Mezo in Malware, Kwetsbaarheid

Vertalen naar:

Onderzoekers hebben een inmiddels gepatchte beveiligingskwetsbaarheid in het Windows Common Log File System (CLFS) ontdekt die actief werd uitgebuit als zero-day-aanval. Deze kwetsbaarheid werd gebruikt in ransomwarecampagnes gericht op specifieke organisaties in diverse sectoren, waaronder de IT- en vastgoedsector in de Verenigde Staten, financiële instellingen in Venezuela, een Spaans softwarebedrijf en retailbedrijven in Saoedi-Arabië.

Inhoudsopgave

CVE-2025-29824 begrijpen

Deze kwetsbaarheid, geïdentificeerd als CVE-2025-29824, is een privilege-escalatiefout in CLFS waarmee aanvallers privileges op SYSTEM-niveau kunnen verkrijgen. Microsoft heeft het probleem aangepakt en gepatcht in de Patch Tuesday-update van april 2025. De cybercriminele groep achter deze aanvallen, bekend onder de naam Storm-2460, heeft een malware genaamd PipeMagic ingezet om misbruik te maken van de beveiligingskwetsbaarheid en ransomware-payloads te verspreiden.

Hoe de aanval zich ontvouwde

Hoewel de exacte methode van de eerste toegang onbekend blijft, observeerden onderzoekers dat de aanvallers het cert-hulpprogramma gebruikten om malware te downloaden van een gecompromitteerde website van derden. De malware, een bedreigend MSBuild-bestand, bevatte een versleutelde payload die, na uitvoering, PipeMagic opstartte. Deze op plug-ins gebaseerde trojan, die sinds 2022 actief is, speelde een centrale rol bij het faciliteren van de aanval.

Dit is niet de eerste keer dat PipeMagic wordt gebruikt in zero-day-exploits. Eerder maakte het misbruik van CVE-2025-24983, een privilege-escalatiefout in het Windows Win32 Kernel Subsystem. Het is ook in verband gebracht met Nokoyawa-ransomwareaanvallen die misbruik maakten van een andere CLFS zero-day-kwetsbaarheid, CVE-2023-28252. Cybersecurityexperts meldden bovendien dat PipeMagic bij eerdere aanvallen, die aan dezelfde aanvaller werden toegeschreven, werd geïmplementeerd via een MSBuild-script voordat de CLFS-kwetsbaarheid voor privilege-elevatie werd misbruikt.

Exploitatie en de impact ervan

De aanval richt zich expliciet op een kwetsbaarheid in de CLFS-kerneldriver. Door geheugencorruptie te misbruiken en de RtlSetAllBits API te gebruiken, overschrijven de aanvallers het token van het exploitproces met 0xFFFFFFFF, waardoor volledige rechten worden verleend. Dit stelt hen in staat om onveilige processen in SYSTEM-processen te injecteren en zo effectief de controle over de geïnfecteerde machine over te nemen. Na succesvolle exploitatie extraheren de aanvallers gebruikersgegevens door LSASS-geheugen te dumpen en systeembestanden te versleutelen met een willekeurig gegenereerde extensie. Vervolgens wordt een losgeldbericht verzonden met een TOR-domein gekoppeld aan de RansomEXX-ransomwarefamilie.

Veiligheidsmaatregelen en verdediging

Ondanks de ernst van de aanval wordt Windows 11, versie 24H2, niet getroffen door deze specifieke exploit. Dit komt door de beveiligingsbeperkingen die gelden voor bepaalde System Information Classes binnen NtQuerySystemInformation. Deze beperken de toegang tot gebruikers met SeDebugPrivilege, een machtiging die doorgaans alleen aan beheerders wordt verleend.

Ransomware-aanvallers blijven prioriteit geven aan escalatie van privileges na een aanval, omdat dit hen in staat stelt om initiële toegang om te zetten in bredere controle binnen een netwerk. Door exploits zoals CVE-2025-29824 te benutten, kunnen ze hun bereik vergroten, privileged access verkrijgen en ransomware met verwoestende gevolgen inzetten. Organisaties moeten waakzaam blijven, beveiligingspatches snel toepassen, alert zijn op ongebruikelijke systeemactiviteit en strenge toegangscontroles handhaven om de risico's van dergelijke evoluerende cyberdreigingen te beperken.