Специалисты Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC) выявили случаи эксплуатации нулевой уязвимости повышения привилегий в Windows Common Log File System (CLFS) после компрометации систем. Атаки были нацелены на ограниченное число объектов, включая организации в сфере информационных технологий и недвижимости в США, финансовый сектор Венесуэлы, испанскую софтверную компанию и розничную торговлю в Саудовской Аравии. Обновления безопасности для устранения уязвимости, отслеживаемой как CVE-2025-29824, были выпущены Microsoft 8 апреля 2025 года.
Кроме того, было установлено, что эксплойт используется вредоносной программой PipeMagic. Microsoft приписывает эту активность группе Storm-2460, которая ранее применяла PipeMagic для развертывания программ-вымогателей. Подобные уязвимости особенно ценны для операторов вымогательского ПО, так как позволяют им превратить первоначальный доступ, в том числе полученный через распространённое вредоносное ПО, в привилегированный. Такой доступ используется для широкомасштабного развертывания и запуска вымогателей в инфраструктуре жертвы.
Microsoft настоятельно рекомендует организациям в приоритетном порядке устанавливать обновления безопасности для устранения уязвимостей повышения привилегий — это создаёт дополнительный барьер на случай, если злоумышленники уже проникли в систему.
Этот материал представляет собой технический анализ эксплойта CLFS и сопутствующей вредоносной активности, зафиксированной у клиентов Microsoft. Информация предоставляется с целью повышения осведомлённости, улучшения обнаружения подобных атак и ускорения процесса патчинга или других мер реагирования. В конце статьи приведены индикаторы компрометации и рекомендации по защите.
CVE-2025-29824: Уязвимость нулевого дня в Common Log File System (CLFS)
Обнаруженный эксплойт использует уязвимость в драйвере ядра CLFS. При успешной атаке злоумышленник, обладающий правами обычного пользователя, может получить повышенные привилегии. Уязвимость отслеживается как CVE-2025-29824 и была закрыта обновлением 8 апреля 2025 года.Действия до эксплуатации
Хотя Microsoft не установила точные векторы изначального доступа, в нескольких случаях были зафиксированы характерные действия группы Storm-2460. Злоумышленники использовали утилиту certutil для загрузки файла с легитимного стороннего сайта, ранее взломанного и использованного в качестве хостинга вредоносного ПО.
Загруженный файл представлял собой вредоносный скрипт MSBuild с зашифрованной вредоносной нагрузкой. После расшифровки и выполнения с использованием обратного вызова API EnumCalendarInfoA, была активирована программа PipeMagic. Компания Kaspersky описала эту вредоносную программу в октябре 2024 года. Ранее, в 2023 году, исследователи ESET также связывали использование PipeMagic с эксплуатацией нулевой уязвимости в Win32k (CVE-2025-24983).
Один из задействованных доменов:
aaaaabbbbbbb.eastus.cloudapp.azure[.]com
Этот домен впоследствии был отключён Microsoft.
Эксплуатация уязвимости CLFS
После запуска PipeMagic атакующие активировали эксплойт CLFS из процесса dllhost.exe.
Эксплойт задействует уязвимость в драйвере ядра CLFS и использует API NtQuerySystemInformation для утечки адресов ядра в пользовательский режим. Однако начиная с Windows 11 версии 24H2, доступ к определённым классам системной информации через этот API ограничен только пользователям с правами SeDebugPrivilege (обычно администраторам). Это делает эксплойт неэффективным на таких системах, даже если уязвимость всё ещё присутствует.
Затем используется повреждение памяти с помощью API RtlSetAllBits для замены токена процесса на значение 0xFFFFFFFF, что активирует все возможные привилегии и позволяет внедряться в процессы от имени SYSTEM.
В процессе эксплуатации создаётся файл формата BLF по следующему пути:
C:\ProgramData\SkyPDF\PDUDrv.blf
Действия после эксплуатации и вымогательское ПО
После получения привилегий происходит инъекция полезной нагрузки в winlogon.exe, которая затем внедряет procdump.exe (из набора Sysinternals) в другой процесс dllhost.exe и запускает его со следующей командной строкой: C:\Windows\system32\dllhost.exe -accepteula -r -ma lsass.exe c:\programdata\[случайные буквы]Это позволяет атакующим получить дамп памяти процесса LSASS и извлечь из него учётные данные пользователей.
Затем Microsoft зафиксировала активность вымогательского ПО: файлы были зашифрованы, к их именам добавлялось случайное расширение, а также оставлялась записка с выкупом под именем !READ_ME_REXX2!.txt. Эту активность Microsoft также приписывает группе Storm-2460.
Хотя образец вредоносного ПО получить не удалось, были отмечены следующие особенности:
- В записках вымогателей упоминаются два .onion-домена:
jbdg4buq6jd7ed3rd6cynqtq5abttuekjnxqrqyvk4xam5i7ld33jvqd.onion (связан с семейством RansomEXX)
uyhi3ypdkfeymyf5v35pbk3pz7st3zamsbjzf47jiqbcm3zmikpwf3qd.onion
- Вымогатель запускается из dllhost.exe с параметром:
--do [путьквымогателю], например:
C:\Windows\system32\dllhost.exe --do C:\foobar - Расширение файлов — уникально для каждого устройства, но одинаково для всех файлов на нём.
- Применяются команды, затрудняющие восстановление и анализ:
Код:
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wevtutil cl Application- В одном случае злоумышленники запускали notepad.exe с правами SYSTEM.
Рекомендации по защите и смягчению последствий
Microsoft выпустила обновление безопасности для устранения CVE-2025-29824 8 апреля 2025 года. Системы на базе Windows 11 версии 24H2 не подвержены фактической эксплуатации даже при наличии уязвимости. Организациям настоятельно рекомендуется как можно скорее установить обновления.
Дополнительные меры:
- Ознакомьтесь с блогом Microsoft «Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself» для системного подхода к защите.
- Включите облачную защиту в Microsoft Defender Antivirus или аналогичный функционал в другом антивирусе для своевременного обнаружения новых угроз.
- Используйте обнаружение устройств для повышения прозрачности сети и защиты незарегистрированных/устаревших систем.
- Активируйте режим блокировки в EDR, чтобы Microsoft Defender for Endpoint мог блокировать вредоносные объекты, даже если другие антивирусы их не видят.
- Включите автоматическое реагирование и расследование для оперативного устранения инцидентов.
- Применяйте attack surface reduction rules в Microsoft 365 Defender для предотвращения распространённых техник, используемых в вымогательских атаках.
Источник
