Programul malware PipeMagic

Până în Mezo în Programe malware, Vulnerabilitate

Tradu in:

Cercetătorii au descoperit o vulnerabilitate de securitate corectată în cadrul sistemului Windows Common Log File System (CLFS), care a fost exploatată în mod activ ca un atac zero-day. Acest defect a fost folosit în campanii de ransomware care vizează organizații specifice din mai multe industrii, inclusiv sectoarele IT și imobiliare din Statele Unite, instituții financiare din Venezuela, o companie spaniolă de software și afaceri cu amănuntul din Arabia Saudită.

Cuprins

Înțelegerea CVE-2025-29824

Identificată ca CVE-2025-29824, această vulnerabilitate este un defect de escaladare a privilegiilor în CLFS, care permite atacatorilor să obțină privilegii la nivel de SISTEM. Microsoft a abordat și a corectat problema în timpul actualizării de marți a corecțiilor din aprilie 2025. Grupul de criminali cibernetici din spatele acestor atacuri, urmărit sub numele Storm-2460, a implementat o tulpină de malware numită PipeMagic pentru a exploata vulnerabilitatea de securitate și a implementa încărcături utile de ransomware.

Cum s-a desfășurat atacul

Deși metoda exactă de acces inițial rămâne necunoscută, cercetătorii au observat că atacatorii au folosit utilitarul cert pentru a descărca programe malware de pe un site web terță parte compromis. Malware, un fișier MSBuild amenințător, conținea o sarcină criptată care, odată executată, a lansat PipeMagic. Acest troian bazat pe plugin, care este activ din 2022, a jucat un rol central în facilitarea atacului.

Aceasta nu este prima instanță în care PipeMagic este utilizat în exploit-uri zero-day. Anterior, a abuzat de CVE-2025-24983, un defect de escaladare a privilegiilor Windows Win32 Kernel Subsystem. De asemenea, a fost asociat cu atacurile ransomware Nokoyawa care au exploatat o altă vulnerabilitate CLFS zero-day, CVE-2023-28252. În plus, experții în securitate cibernetică au raportat că în atacurile anterioare atribuite aceluiași actor de amenințare, PipeMagic a fost implementat printr-un script MSBuild înainte de a exploata vulnerabilitatea CLFS de creștere a privilegiilor.

Exploatarea și impactul ei

Atacul vizează în mod explicit o vulnerabilitate din driverul kernel-ului CLFS. Prin exploatarea corupției memoriei și prin utilizarea API-ului RtlSetAllBits, atacatorii suprascriu simbolul procesului de exploatare cu 0xFFFFFFFF, acordând privilegii complete. Acest lucru le permite să injecteze procese nesigure în procesele SISTEM, preluând în mod eficient controlul asupra mașinii infectate. În urma exploatării cu succes, actorii amenințărilor extrag acreditările utilizatorului prin descărcarea memoriei LSASS și criptarea fișierelor de sistem cu o extensie generată aleatoriu. O notă de răscumpărare care conține un domeniu TOR legat de familia de ransomware RansomEXX este apoi abandonată.

Măsuri de securitate și apărare

În ciuda gravității atacului, Windows 11, versiunea 24H2, nu este afectat de această exploatare specifică. Acest lucru se datorează restricțiilor de securitate impuse anumitor clase de informații de sistem din NtQuerySystemInformation, care limitează accesul utilizatorilor cu SeDebugPrivilege, permisiunea acordată de obicei numai utilizatorilor administrativi.

Actorii ransomware continuă să prioritizeze escaladarea privilegiilor după compromis, deoarece le permite să transforme accesul inițial într-un control mai larg în cadrul unei rețele. Folosind exploit-uri precum CVE-2025-29824, aceștia își pot escalada acoperirea, obține acces privilegiat și implementează ransomware cu un impact devastator. Organizațiile trebuie să rămână vigilente, aplicând rapid corecții de securitate, monitorizând activitatea neobișnuită a sistemului și impunând controale puternice de acces pentru a reduce riscurile prezentate de astfel de amenințări cibernetice în evoluție.