Microsoft heeft onthuld dat een inmiddels gepatchte beveiligingsfout van invloed is op het Windows Common Log File System (CLFS) werd benut als een zero-day in ransomware-aanvallen gericht op een klein aantal doelen.
“De doelen omvatten organisaties in de informatietechnologie (IT) en vastgoedsectoren van de Verenigde Staten, de financiële sector in Venezuela, een Spaans softwarebedrijf en de detailhandel in Saoedi -Arabië,” zei de tech -gigant.
De kwetsbaarheid in kwestie is CVE-2025-29824, een privilege-escalatie-bug in CLF’s die kan worden benut om systeemprivileges te bereiken. Het werd opgelost door Redmond als onderdeel van de Patch Tuesday Update voor april 2025.
Microsoft volgt de activiteit en de post-compromissexploitatie van CVE-2025-29824 onder de naam Storm-2460, waarbij de dreigingsacteurs ook gebruikmaken van een malware genaamd Pipemagic om de exploit te leveren en ransomware-ladingen.
De exacte initiële toegangsvector die bij de aanvallen wordt gebruikt, is momenteel niet bekend. De dreigingsactoren zijn echter waargenomen met behulp van het Certutil-hulpprogramma om malware te downloaden van een legitieme site van derden die eerder was aangetast om de payloads te organiseren.
De malware is een kwaadaardig MSBuild-bestand dat een gecodeerde lading bevat, die vervolgens wordt uitgepakt om Pipemagic te lanceren, een op plug-in gebaseerde Trojan die sinds 2022 in het wild wordt gedetecteerd.
Het is de moeite waard om hier te vermelden dat CVE-2025-29824 de tweede Windows Zero-Day-fout is die via Pipemagic na CVE-2025-24983 wordt geleverd, een Windows Win32 Kernel Subsystem Privilege Escalation Bug, die werd gemarkeerd door ESET en gepatcht door Microsoft vorige maand.
Eerder werd pipemagisch ook waargenomen in verband met Nokoyawa-ransomware-aanvallen die een andere CLFS Zero-Day-fout exploiteerden (CVE-2023-28252).
“In sommige van de andere aanvallen die we toeschrijven aan dezelfde acteur, hebben we ook opgemerkt dat, voorafgaand aan het exploiteren van de CLFS-hoogte-van-privilege kwetsbaarheid, de machines van het slachtoffer besmet waren met een aangepaste modulaire achterdeur genaamd ‘Pipemagic’ die wordt gelanceerd via een MSBuild-script,” Kaspersky in april 2023.
Het is cruciaal om op te merken dat Windows 11, versie 24H2, niet wordt beïnvloed door deze specifieke exploitatie, omdat toegang tot bepaalde systeeminformatieklassen binnen NTquerySystemInformation beperkt is tot gebruikers met Sedebugprivilege, die doorgaans alleen admin-achtige gebruikers kunnen verkrijgen.
“De exploit richt zich op een kwetsbaarheid in de CLFS -kerneldriver,” legde het Microsoft Threat Intelligence -team uit. “De exploit maakt vervolgens gebruik van een geheugencorruptie en de RTLSetAllbits API om het token van het exploitproces te overschrijven met de waarde 0xffffffff, waardoor alle privileges voor het proces mogelijk worden gemaakt, waardoor procesinjectie in systeemprocessen mogelijk is.”
Succesvolle exploitatie wordt gevolgd door de dreigingsacteur die gebruikersreferenties extraht door het geheugen van LSASS te dumpen en bestanden op het systeem te coderen met een willekeurige extensie.
Microsoft zei dat het niet in staat was om een ransomware -monster te verkrijgen voor analyse, maar zei dat de losgeldbrief was gedaald nadat codering een TOR -domein omvatte gebonden aan de Ransomexx -ransomware -familie.
“Ransomware Threat Actors Waarde post-Compromise verhoging van privilege-exploits, omdat deze hen in staat kunnen stellen om initiële toegang te escaleren, inclusief overdrachten van grondstoffenmalwaredistributeurs, tot bevoorrechte toegang,” zei Microsoft. “Vervolgens gebruiken ze bevoorrechte toegang voor wijdverbreide implementatie en ontploffing van ransomware in een omgeving.”
