Microsoft: Windows CLFS Уязвимость может привести к «широко распространенному развертыванию и детонации вымогателей»
10 апреля 2025 г.Microsoft обнаружила уязвимость нулевого дня в общей файловой системе Windows (CLF), используемой в дикой природе для развертывания вымогателей. Целевые отрасли включают IT, недвижимость, финансы, программное обеспечение и розничную торговлю, с компаниями, базирующимися в США, Испании, Венесуэле и Саудовской Аравии.
Уязвимость, отслеживаемая как CVE-2025-29824 и оценка «Важный», присутствует в драйвере ядра CLFS. Это позволяет злоумышленнику, который уже имеет стандартный пользовательский доступ к системе, чтобы обострить свои локальные привилегии. Затем человек может использовать свой привилегированный доступ для «широкого распространения развертывания и детонации вымогателей в среде», согласно сообщению в блоге, проведенным Центром интеллекта угроз Microsoft.
Драйвер CFLS является ключевым элементом Windows, используемых для записи журналов транзакций, и его неправильное использование может позволить злоумышленнику получить привилегии системы. Оттуда они могли бы украсть данные или установить бэкдоры. Microsoft часто раскрывает недостатки эскалации привилегий в CFL, последняя, которая была исправлена в декабре.
В случаях эксплуатации CVE-2025-29824, наблюдаемой Microsoft, так называемое «пипемагическое» вредоносное ПО было развернуто до того, как злоумышленники могли использовать уязвимость, чтобы обострить свои привилегии. Pipemagic дает атакующим удалить дистанционное управление системой и позволяет им запускать команды или устанавливать больше вредоносных инструментов.
См.: TechRepublic Exclusive: новые атаки вымогателей становятся все более личными, поскольку хакеры «применяют психологическое давление»
Кто стоит за эксплуатацией?
Microsoft определила Storm-2460 как актер угрозы, использующий эту уязвимость с Pipmagic и Ransomware, связывая его с группой Ransomexx.
После того, как нападавшие были известны как Defray777, вышли на место происшествия в 2018 году. С тех пор они нацелены на громкие организации, такие как Министерство транспорта Техаса, правительство Бразилии и тайваньский производитель оборудования Gigabyte. Группа была связана с российскими гражданами.
Кибер-агентство США добавило уязвимость 7,8 в своем известном списке эксплуатируемых уязвимостей, что означает, что федеральные гражданские агентства должны применить патч до 29 апреля.
Windows 10, Windows 11 и Windows Server уязвимы
8 апреля были выпущены обновления безопасности для исправления уязвимости в Windows 11, Windows Server 2022 и Windows Server 2019. На основе Windows 10 X64 и 32-битных системах все еще ожидают исправления, но Редмонд говорит, что они будут выпущены «как можно скорее», и «клиенты будут уведомлены через пересмотр в эту информацию CVE».
Устройства, управляющие версией Windows 11 24H2 или новым, не могут быть использованы таким образом, даже если уязвимость существует. Доступ к требуемой системе информации ограничен пользователями с разрешением «sedebugprivilege», уровень доступа, обычно недоступный для стандартных пользователей.
Как работает эксплуатация
Microsoft наблюдала, как актеры угроз, используя утилиту командной строки Certutil для загрузки вредоносного файла MSBuild в систему жертвы.
Этот файл, в котором несла зашифрованную пипемэгическую полезную нагрузку, был доступен на некогда легкомысленном веб-сайте, который был скомпрометирован для размещения вредоносных программ актера угрозы. Один домен Pipmagic, сообщенный Aaaaabbbbbbb.eastus.cloudapp.azure [.] Com, который теперь был отключен.
После того, как Pipmagic был расшифрован и запускается в памяти, злоумышленники использовали процесс dllhost.exe для утечки адресов ядра или местоположения памяти в режим пользователя. Они перезаписывают токен процесса, который определяет, что позволяет делать процесс, со значением 0xffffffff, предоставляя ему полные привилегии и позволяя злоумышленникам вводить код в процессы системного уровня.
Затем они ввели полезную нагрузку в процесс системы Winlogon.exe, который впоследствии вводил инструмент Sysinternals Procdump.exe в другой процесс dllhost.exe и выполнил его. Это позволило актеру угрозы сбросить память LSASS, процесс, который содержит учетные данные пользователя.
После кражи учетных данных было развернуто Ransomware. Microsoft наблюдала зашифрованные файлы, добавлено случайное расширение и примечание выкупа с именем!
Оригинал