PipeMagic Malware

Por Mezo em Malware, Vulnerabilidade

Traduzir Para:

Os pesquisadores descobriram uma vulnerabilidade de segurança, já corrigida, no Sistema de Arquivos de Log Comum (CLFS) do Windows que foi explorada ativamente como um ataque de dia zero. Essa falha foi usada em campanhas de ransomware direcionadas a organizações específicas de diversos setores, incluindo os setores de TI e imobiliário nos Estados Unidos, instituições financeiras na Venezuela, uma empresa espanhola de software e empresas de varejo na Arábia Saudita.

Índice

Compreendendo o CVE-2025-29824

Identificada como CVE-2025-29824, essa vulnerabilidade é uma falha de escalonamento de privilégios no CLFS que permite que invasores obtenham privilégios de nível SISTEMA. A Microsoft abordou e corrigiu o problema durante a atualização do Patch Tuesday de abril de 2025. O grupo de cibercriminosos por trás desses ataques, rastreados sob o nome Storm-2460, implantou uma cepa de malware chamada PipeMagic para explorar a vulnerabilidade de segurança e implantar payloads de ransomware.

Como o Ataque Se Desenrolou

Embora o método exato de acesso inicial permaneça desconhecido, os pesquisadores observaram que os invasores usaram o utilitário cert para baixar malware de um site de terceiros comprometido. O malware, um arquivo MSBuild ameaçador, continha um payload criptografado que, uma vez executado, iniciava o PipeMagic. Este trojan baseado em plugin, ativo desde 2022, desempenhou um papel central na facilitação do ataque.

Esta não é a primeira vez que o PipeMagic é usado em exploits de dia zero. Anteriormente, ele abusou da CVE-2025-24983, uma falha de escalonamento de privilégios do Subsistema do Kernel Win32 do Windows. Ele também foi associado a ataques de ransomware Nokoyawa que exploraram outra vulnerabilidade de dia zero do CLFS, a CVE-2023-28252. Além disso, especialistas em segurança cibernética relataram que, em ataques anteriores atribuídos ao mesmo agente de ameaça, o PipeMagic foi implantado por meio de um script MSBuild antes de explorar a vulnerabilidade de elevação de privilégio do CLFS.

A Exploração e o Seu Impacto

O ataque visa explicitamente uma vulnerabilidade no driver do kernel CLFS. Explorando a corrupção de memória e utilizando a API RtlSetAllBits, os invasores sobrescrevem o token do processo de exploração com 0xFFFFFFFF, concedendo privilégios totais. Isso lhes permite injetar processos inseguros nos processos do SISTEMA, assumindo efetivamente o controle da máquina infectada. Após a exploração bem-sucedida, os invasores extraem as credenciais do usuário, despejando memória LSASS e criptografando arquivos do sistema com uma extensão gerada aleatoriamente. Uma nota de resgate contendo um domínio TOR vinculado à família de ransomware RansomEXX é então emitida.

Medidas de Segurança e Defesa

Apesar da gravidade do ataque, o Windows 11, versão 24H2, não foi afetado por esta exploração específica. Isso se deve a restrições de segurança impostas a Classes de Informações do Sistema específicas dentro do NtQuerySystemInformation, que limitam o acesso a usuários com SeDebugPrivilege, permissão normalmente concedida apenas a usuários administrativos.

Os agentes de ransomware continuam a priorizar a escalada de privilégios pós-comprometimento, pois isso lhes permite transformar o acesso inicial em um controle mais amplo dentro de uma rede. Aproveitando exploits como o CVE-2025-29824, eles podem aumentar seu alcance, obter acesso privilegiado e implantar ransomware com impacto devastador. As organizações devem permanecer vigilantes, aplicando patches de segurança prontamente, monitorando atividades incomuns no sistema e aplicando controles de acesso rigorosos para reduzir os riscos representados por essas ameaças cibernéticas em constante evolução.