徐州市城乡建设局网站6站长seo推广
微软披露,一个现已修复的影响Windows通用日志文件系统(CLFS)的安全漏洞曾被作为零日漏洞用于针对少数目标的勒索软件攻击中。
01
攻击目标与漏洞详情
这家科技巨头表示:"受害者包括美国信息技术(IT)和房地产行业组织、委内瑞拉金融行业企业、一家西班牙软件公司以及沙特阿拉伯零售行业机构。"相关漏洞编号为CVE-2025-29824,是CLFS中的一个权限提升漏洞,攻击者可利用该漏洞获取SYSTEM权限。微软已在2025年4月的补丁星期二更新中修复该漏洞。
微软将CVE-2025-29824漏洞的利用活动追踪命名为Storm-2460,攻击者还使用名为PipeMagic的恶意软件来投递漏洞利用程序及勒索软件载荷。
02
攻击手法分析
目前尚不清楚攻击者使用的初始入侵途径。但安全人员观察到攻击者使用certutil工具从先前已被入侵的合法第三方网站下载恶意软件以投放载荷。该恶意软件是一个包含加密载荷的恶意MSBuild文件,解密后会启动PipeMagic——这是一个基于插件的木马程序,自2022年起就已在野外被发现。
值得注意的是,CVE-2025-29824是继CVE-2025-24983之后第二个通过PipeMagic传播的Windows零日漏洞。CVE-2025-24983是Windows Win32内核子系统的权限提升漏洞,上月由ESET报告并被微软修复。此前,PipeMagic还曾与利用另一个CLFS零日漏洞(CVE-2023-28252)的Nokoyawa勒索软件攻击有关联。
卡巴斯基在2023年4月指出:"在我们归因于同一攻击者的其他攻击中,还观察到在利用CLFS权限提升漏洞前,受害机器已感染了通过MSBuild脚本启动的定制模块化后门程序'PipeMagic'。"
03
技术细节与影响范围
需要特别注意的是,Windows 11 24H2版本不受此特定漏洞利用影响,因为该版本限制了NtQuerySystemInformation中某些系统信息类的访问权限,仅授予具有SeDebugPrivilege的用户(通常只有管理员级别用户才能获取)。
微软威胁情报团队解释称:"该漏洞利用针对CLFS内核驱动程序中的漏洞。攻击者随后利用内存损坏和RtlSetAllBits API将漏洞利用进程的令牌覆盖为0xFFFFFFFF值,从而为进程启用所有权限,使其能够注入SYSTEM进程。"
04
攻击后续行为
成功利用漏洞后,攻击者会通过转储LSASS内存来提取用户凭证,并使用随机扩展名加密系统文件。微软表示未能获取勒索软件样本进行分析,但指出加密后留下的勒索说明中包含与RansomEXX勒索软件家族相关的TOR域名。
微软强调:"勒索软件攻击者非常重视入侵后的权限提升漏洞利用,因为这能帮助他们将初始访问权限(包括从普通恶意软件分销商处获得的权限)提升为特权访问。随后他们会利用特权访问权限在环境中广泛部署和引爆勒索软件。"