Microsoft rivela una vulnerabilità zero-day sfruttata in attacchi ransomware
Microsoft ha recentemente reso noto che una vulnerabilità di sicurezza, ora risolta, che interessava il Windows Common Log File System (CLFS) è stata sfruttata come zero-day in attacchi ransomware mirati a un numero limitato di obiettivi. Tra questi, si annoverano organizzazioni nei settori dell’informazione tecnologica (IT) e immobiliare negli Stati Uniti, il settore finanziario in Venezuela, una società di software spagnola e il settore retail in Arabia Saudita.
Dettagli sulla vulnerabilità CVE-2025-29824
La vulnerabilità in questione, identificata come CVE-2025-29824, è un bug di escalation dei privilegi nel CLFS che potrebbe essere sfruttato per ottenere privilegi di sistema. Microsoft ha risolto questo problema come parte del suo aggiornamento Patch Tuesday di aprile 2025. L’attività e lo sfruttamento post-compromissione di CVE-2025-29824 sono monitorati da Microsoft sotto il nome di Storm-2460. Gli attori della minaccia utilizzano anche un malware chiamato PipeMagic per distribuire l’exploit e i payload ransomware.
Metodi di attacco e distribuzione del malware
Il vettore di accesso iniziale utilizzato negli attacchi non è attualmente noto. Tuttavia, è stato osservato che gli attori della minaccia utilizzano l’utilità certutil per scaricare malware da un sito di terze parti legittimo precedentemente compromesso per ospitare i payload. Il malware è un file MSBuild malevolo che contiene un payload crittografato, successivamente scompattato per lanciare PipeMagic, un trojan basato su plugin rilevato in natura dal 2022.
PipeMagic e precedenti vulnerabilità zero-day
È importante notare che CVE-2025-29824 è la seconda vulnerabilità zero-day di Windows distribuita tramite PipeMagic, dopo CVE-2025-24983, un bug di escalation dei privilegi nel sottosistema kernel Win32 di Windows, segnalato da ESET e corretto da Microsoft il mese scorso. In precedenza, PipeMagic era stato osservato in connessione con attacchi ransomware Nokoyawa che sfruttavano un’altra vulnerabilità zero-day nel CLFS (CVE-2023-28252).
Protezione e mitigazione
È cruciale notare che Windows 11, versione 24H2, non è interessato da questa specifica vulnerabilità, poiché l’accesso a determinate classi di informazioni di sistema all’interno di NtQuerySystemInformation è limitato agli utenti con SeDebugPrivilege, che tipicamente solo utenti con privilegi amministrativi possono ottenere. L’exploit prende di mira una vulnerabilità nel driver kernel CLFS, utilizzando una corruzione della memoria e l’API RtlSetAllBits per sovrascrivere il token del processo di exploit con il valore 0xFFFFFFFF, abilitando tutti i privilegi per il processo, il che consente l’iniezione di processi nei processi di sistema.
Una volta sfruttata con successo, l’attore della minaccia estrae le credenziali utente scaricando la memoria di LSASS e crittografando i file sul sistema con un’estensione casuale. Microsoft ha dichiarato di non essere stata in grado di ottenere un campione di ransomware per l’analisi, ma ha riferito che la nota di riscatto viene lasciata dopo la crittografia.
Fonte: The Hackers News
