HackerNews 编译,转载请注明出处:
微软透露,一个现已修复的安全漏洞影响了 Windows 公共日志文件系统(CLFS),该漏洞被作为零日漏洞利用,用于针对少数目标的勒索软件攻击。
“目标包括美国信息技术(IT)和房地产行业的组织、委内瑞拉的金融行业、一家西班牙软件公司以及沙特阿拉伯的零售行业,”这家科技巨头表示。
相关漏洞是 CVE-2025-29824,这是一个 CLFS 中的权限提升漏洞,攻击者可利用其获得 SYSTEM 权限。微软在 2025 年 4 月的补丁星期二更新中修复了这一漏洞。
微软正在追踪这一活动以及 CVE-2025-29824 被利用后的情况,并将其命名为 Storm-2460,同时发现攻击者还利用了一种名为 PipeMagic 的恶意软件来交付漏洞利用程序和勒索软件载荷。
目前尚不清楚攻击中使用的具体初始访问向量。然而,观察到攻击者使用 certutil 工具从一个先前被攻陷的合法第三方站点下载恶意软件,以部署载荷。
该恶意软件是一个包含加密载荷的恶意 MSBuild 文件,解包后会启动 PipeMagic,这是一个自 2022 年以来在野外被检测到的基于插件的特洛伊木马。
值得一提的是,CVE-2025-29824 是继 CVE-2025-24983(一个 Windows Win32 内核子系统权限提升漏洞)之后,通过 PipeMagic 传递的第二个 Windows 零日漏洞。CVE-2025-24983 由 ESET 发现,并于上个月由微软修复。
此前,PipeMagic 还与利用另一个 CLFS 零日漏洞(CVE-2023-28252)的 Nokoyawa 勒索软件攻击有关。
“在我们归因于同一攻击者的其他攻击中,我们还观察到,在利用 CLFS 提权漏洞之前,受害者的机器已被一个名为‘PipeMagic’的自定义模块化后门感染,该后门通过 MSBuild 脚本启动,”卡巴斯基在 2023 年 4 月指出。
需要强调的是,Windows 11 24H2 版本不受此特定漏洞利用的影响,因为对 NtQuerySystemInformation 中某些系统信息类的访问被限制为具有 SeDebugPrivilege 的用户,而这类权限通常只有管理员级别的用户才能获得。
“漏洞利用针对的是 CLFS 内核驱动中的一个漏洞,”微软威胁情报团队解释道。“漏洞利用随后利用内存损坏和 RtlSetAllBits API 将漏洞利用进程的令牌覆盖为值 0xFFFFFFFF,从而为进程启用所有权限,这允许将进程注入到 SYSTEM 进程中。”
成功利用漏洞后,攻击者会通过转储 LSASS 内存来提取用户凭据,并使用随机扩展名加密系统中的文件。
微软表示,未能获得勒索软件样本进行分析,但指出加密后留下的勒索信中包含一个与 RansomEXX 勒索软件家族相关的 TOR 域。
“勒索软件攻击者重视被攻陷后的提权漏洞利用,因为这些漏洞可以让他们将初始访问权限(包括从商品恶意软件分发者手中接过的访问权限)提升为特权访问权限,”微软表示。“然后他们利用这些特权访问权限在环境中广泛部署和引爆勒索软件。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
