PipeMagic Malware

Med Mezo år Skadlig programvara, Sårbarhet

Översätt till:

Forskare har upptäckt en nu korrigerad säkerhetssårbarhet i Windows Common Log File System (CLFS) som aktivt utnyttjades som en nolldagsattack. Denna brist användes i ransomware-kampanjer riktade mot specifika organisationer inom flera branscher, inklusive IT- och fastighetssektorer i USA, finansiella institutioner i Venezuela, ett spanskt mjukvaruföretag och detaljhandelsföretag i Saudiarabien.

Innehållsförteckning

Förstå CVE-2025-29824

Denna sårbarhet identifieras som CVE-2025-29824 och är ett privilegieupptrappningsfel i CLFS som gör att angripare kan få privilegier på SYSTEMnivå. Microsoft åtgärdade och korrigerade problemet under uppdateringen av Patch Tuesday i april 2025. Den cyberkriminella gruppen bakom dessa attacker, spårad under namnet Storm-2460, distribuerade en skadlig kod som heter PipeMagic för att utnyttja säkerhetssårbarheten och distribuera nyttolaster för ransomware.

Hur attacken utvecklades

Även om den exakta metoden för initial åtkomst fortfarande är okänd, observerade forskare att angriparna använde cert-verktyget för att ladda ner skadlig programvara från en komprometterad tredjepartswebbplats. Skadlig programvara, en hotfull MSBuild-fil, innehöll en krypterad nyttolast som, när den väl körts, startade PipeMagic. Denna plugin-baserade trojan, som har varit aktiv sedan 2022, spelade en central roll för att underlätta attacken.

Detta är inte den första instansen av PipeMagic som används i zero-day exploits. Tidigare har den missbrukat CVE-2025-24983, ett fel med eskalering av rättigheter för Windows Win32 Kernel Subsystem. Det har också associerats med Nokoyawa ransomware-attacker som utnyttjade en annan CLFS zero-day sårbarhet, CVE-2023-28252. Dessutom rapporterade cybersäkerhetsexperter att PipeMagic i tidigare attacker som tillskrivits samma hotaktör distribuerades genom ett MSBuild-skript innan CLFS-utjämningssårbarheten utnyttjades.

Exploatering och dess inverkan

Attacken riktar sig uttryckligen mot en sårbarhet i CLFS-kärndrivrutinen. Genom att utnyttja minneskorruption och använda RtlSetAllBits API skriver angriparna över exploateringsprocessens token med 0xFFFFFFFF, vilket ger fullständiga privilegier. Detta gör att de kan injicera osäkra processer i SYSTEM-processer och effektivt ta kontroll över den infekterade maskinen. Efter framgångsrik exploatering extraherar hotaktörerna användaruppgifter genom att dumpa LSASS-minne och kryptera systemfiler med ett slumpmässigt genererat tillägg. En lösensumma som innehåller en TOR-domän kopplad till RansomEXX ransomware-familjen släpps sedan.

Säkerhetsåtgärder och försvar

Trots attackens svårighetsgrad påverkas inte Windows 11, version 24H2, av detta specifika utnyttjande. Detta beror på säkerhetsbegränsningar för särskilda systeminformationsklasser inom NtQuerySystemInformation, som begränsar åtkomst till användare med SeDebugPrivilege, behörighet som vanligtvis endast ges till administrativa användare.

Ransomware-aktörer fortsätter att prioritera eskalering av rättigheter efter kompromiss, eftersom det gör det möjligt för dem att omvandla initial åtkomst till bredare kontroll inom ett nätverk. Genom att utnyttja exploateringar som CVE-2025-29824 kan de eskalera sin räckvidd, få privilegierad åtkomst och distribuera ransomware med förödande effekt. Organisationer måste förbli vaksamma, tillämpa säkerhetskorrigeringar omedelbart, övervaka för ovanlig systemaktivitet och genomdriva starka åtkomstkontroller för att minska riskerna med sådana växande cyberhot.