PipeMagic Kötü Amaçlı Yazılım

Mezo'de Kötü amaçlı yazılım, Güvenlik Açığı'de

Çevir:

Araştırmacılar, Windows Ortak Günlük Dosya Sistemi'nde (CLFS) sıfır gün saldırısı olarak aktif olarak istismar edilen, artık yamalanmış bir güvenlik açığını ortaya çıkardı. Bu kusur, ABD'deki BT ve gayrimenkul sektörleri, Venezuela'daki finans kurumları, bir İspanyol yazılım şirketi ve Suudi Arabistan'daki perakende işletmeleri de dahil olmak üzere birden fazla sektördeki belirli kuruluşları hedef alan fidye yazılımı kampanyalarında kullanıldı.

İçindekiler

CVE-2025-29824’ü Anlamak

CVE-2025-29824 olarak tanımlanan bu güvenlik açığı, saldırganların SİSTEM düzeyinde ayrıcalıklar elde etmesine olanak tanıyan CLFS'deki bir ayrıcalık yükseltme kusurudur. Microsoft, Nisan 2025 Salı Yaması güncellemesi sırasında bu sorunu ele aldı ve düzeltti. Bu saldırıların arkasındaki Storm-2460 adıyla izlenen siber suçlu grubu, güvenlik açığını istismar etmek ve fidye yazılımı yüklerini dağıtmak için PipeMagic adlı bir kötü amaçlı yazılım türü dağıttı.

Saldırı Nasıl Gerçekleşti?

İlk erişimin kesin yöntemi henüz bilinmezken, araştırmacılar saldırganların sertifika yardımcı programını tehlikeye atılmış üçüncü taraf bir web sitesinden kötü amaçlı yazılım indirmek için kullandığını gözlemledi. Tehdit edici bir MSBuild dosyası olan kötü amaçlı yazılım, yürütüldüğünde PipeMagic'i başlatan şifrelenmiş bir yük içeriyordu. 2022'den beri aktif olan bu eklenti tabanlı Truva Atı, saldırıyı kolaylaştırmada merkezi bir rol oynadı.

Bu, PipeMagic'in sıfır günlük istismarlarda kullanıldığı ilk örnek değil. Daha önce, Windows Win32 Kernel Alt Sistemi ayrıcalık yükseltme açığı olan CVE-2025-24983'ü kötüye kullanmıştı. Ayrıca, başka bir CLFS sıfır günlük açığı olan CVE-2023-28252'yi kötüye kullanan Nokoyawa fidye yazılımı saldırılarıyla da ilişkilendirilmiştir. Ek olarak, siber güvenlik uzmanları, aynı tehdit aktörüne atfedilen önceki saldırılarda, PipeMagic'in CLFS ayrıcalık yükseltme açığını istismar etmeden önce bir MSBuild betiği aracılığıyla dağıtıldığını bildirdi.

Sömürü ve Etkisi

Saldırı açıkça CLFS çekirdek sürücüsündeki bir güvenlik açığını hedef alıyor. Bellek bozulmasını istismar ederek ve RtlSetAllBits API'sini kullanarak saldırganlar, istismar işleminin belirtecini 0xFFFFFFFF ile üzerine yazarak tam ayrıcalıklar sağlıyor. Bu, onların SYSTEM işlemlerine güvenli olmayan işlemler enjekte etmelerine ve enfekte olmuş makinenin kontrolünü etkili bir şekilde ele geçirmelerine olanak tanıyor. Başarılı bir istismarın ardından, tehdit aktörleri LSASS belleğini boşaltarak ve sistem dosyalarını rastgele oluşturulmuş bir uzantıyla şifreleyerek kullanıcı kimlik bilgilerini çıkarıyor. Ardından RansomEXX fidye yazılımı ailesine bağlı bir TOR etki alanı içeren bir fidye notu bırakılıyor.

Güvenlik Önlemleri ve Savunma

Saldırının ciddiyetine rağmen, Windows 11, sürüm 24H2, bu belirli istismardan etkilenmez. Bunun nedeni, NtQuerySystemInformation içindeki belirli Sistem Bilgi Sınıflarına uygulanan güvenlik kısıtlamalarıdır ve bu kısıtlamalar, erişimi genellikle yalnızca yönetici kullanıcılara verilen izin olan SeDebugPrivilege'e sahip kullanıcılarla sınırlar.

Fidye yazılımı aktörleri, ilk erişimi bir ağ içinde daha geniş bir kontrole dönüştürmelerini sağladığı için, uzlaşma sonrası ayrıcalık yükseltmesine öncelik vermeye devam ediyor. CVE-2025-29824 gibi istismarlardan yararlanarak, erişimlerini artırabilir, ayrıcalıklı erişim elde edebilir ve yıkıcı etkiye sahip fidye yazılımları dağıtabilirler. Kuruluşlar, bu tür gelişen siber tehditlerin oluşturduğu riskleri azaltmak için güvenlik yamalarını derhal uygulayarak, olağandışı sistem etkinliğini izleyerek ve güçlü erişim kontrolleri uygulayarak tetikte kalmalıdır.