PipeMagic Malware

Do roku Mezo v roku Malvér, Zraniteľnosť

Preložiť do:

Výskumníci odhalili teraz opravenú bezpečnostnú chybu v systéme Windows Common Log File System (CLFS), ktorá bola aktívne zneužitá ako zero-day útok. Táto chyba bola použitá v kampaniach zameraných na ransomvér zameraných na konkrétne organizácie vo viacerých odvetviach vrátane IT a sektora nehnuteľností v Spojených štátoch, finančných inštitúcií vo Venezuele, španielskej softvérovej spoločnosti a maloobchodných firiem v Saudskej Arábii.

Obsah

Pochopenie CVE-2025-29824

Táto chyba zabezpečenia, identifikovaná ako CVE-2025-29824, je chybou eskalácie privilégií v CLFS, ktorá umožňuje útočníkom získať privilégiá na úrovni SYSTÉMU. Spoločnosť Microsoft problém vyriešila a opravila počas aktualizácie Patch Tuesday z apríla 2025. Skupina kyberzločincov, ktorá stojí za týmito útokmi, sledovaná pod názvom Storm-2460, nasadila kmeň malvéru s názvom PipeMagic, aby využila zraniteľnosť v zabezpečení a nasadila užitočné zaťaženie ransomvéru.

Ako sa útok vyvíjal

Zatiaľ čo presný spôsob počiatočného prístupu zostáva neznámy, výskumníci zistili, že útočníci použili certifikačný nástroj na stiahnutie škodlivého softvéru z napadnutej webovej stránky tretej strany. Malvér, hrozivý súbor MSBuild, obsahoval zašifrovaný náklad, ktorý po spustení spustil PipeMagic. Tento trójsky kôň založený na doplnkoch, ktorý je aktívny od roku 2022, zohral ústrednú úlohu pri uľahčovaní útoku.

Toto nie je prvý prípad použitia PipeMagic v zero-day exploitoch. Predtým zneužil CVE-2025-24983, chybu eskalácie privilégií podsystému Windows Win32 Kernel Subsystem. Súvisí to aj s útokmi ransomvéru Nokoyawa, ktoré zneužili ďalšiu zraniteľnosť CLFS zero-day, CVE-2023-28252. Okrem toho odborníci na kybernetickú bezpečnosť uviedli, že v predchádzajúcich útokoch pripisovaných rovnakému aktérovi hrozby bol PipeMagic nasadený prostredníctvom skriptu MSBuild pred zneužitím zraniteľnosti CLFS zvýšenia oprávnenia.

Využívanie a jeho vplyv

Útok sa explicitne zameriava na zraniteľnosť v ovládači jadra CLFS. Využitím poškodenia pamäte a využitím RtlSetAllBits API útočníci prepíšu token procesu exploitu na 0xFFFFFFFF, čím udelia úplné privilégiá. To im umožňuje zavádzať nebezpečné procesy do SYSTÉMOVÝCH procesov a efektívne prevziať kontrolu nad infikovaným počítačom. Po úspešnom zneužití aktéri hrozieb extrahujú používateľské poverenia vyprázdnením pamäte LSASS a zašifrovaním systémových súborov pomocou náhodne vygenerovanej prípony. Výkupné obsahujúce doménu TOR prepojenú s rodinou ransomvéru RansomEXX sa potom zruší.

Bezpečnostné opatrenia a obrana

Napriek závažnosti útoku nie je Windows 11, verzia 24H2, ovplyvnený týmto špecifickým zneužitím. Je to kvôli bezpečnostným obmedzeniam uvaleným na konkrétne triedy systémových informácií v rámci NtQuerySystemInformation, ktoré obmedzujú prístup na používateľov s povolením SeDebugPrivilege, ktoré sa zvyčajne udeľuje iba administratívnym používateľom.

Aktéri ransomvéru naďalej uprednostňujú eskaláciu privilégií po kompromise, pretože im to umožňuje transformovať počiatočný prístup na širšiu kontrolu v rámci siete. Využitím exploitov ako CVE-2025-29824 môžu zvýšiť svoj dosah, získať privilegovaný prístup a nasadiť ransomvér s ničivým dopadom. Organizácie musia zostať ostražité, okamžite aplikovať bezpečnostné záplaty, monitorovať nezvyčajnú aktivitu systému a presadzovať prísne kontroly prístupu, aby sa znížili riziká, ktoré predstavujú takéto vyvíjajúce sa kybernetické hrozby.