Нулевая уязвимость в CLFS: как Storm-2460 использует PipeMagic и повышение привилегий для атак с вымогателями

  • Автор темы Автор темы akok
  • Дата начала Дата начала

Переводчик Google



Специалисты Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC) выявили случаи эксплуатации нулевой уязвимости повышения привилегий в Windows Common Log File System (CLFS) после компрометации систем. Атаки были нацелены на ограниченное число объектов, включая организации в сфере информационных технологий и недвижимости в США, финансовый сектор Венесуэлы, испанскую софтверную компанию и розничную торговлю в Саудовской Аравии. Обновления безопасности для устранения уязвимости, отслеживаемой как CVE-2025-29824, были выпущены Microsoft 8 апреля 2025 года.


Кроме того, было установлено, что эксплойт используется вредоносной программой PipeMagic. Microsoft приписывает эту активность группе Storm-2460, которая ранее применяла PipeMagic для развертывания программ-вымогателей. Подобные уязвимости особенно ценны для операторов вымогательского ПО, так как позволяют им превратить первоначальный доступ, в том числе полученный через распространённое вредоносное ПО, в привилегированный. Такой доступ используется для широкомасштабного развертывания и запуска вымогателей в инфраструктуре жертвы.


Microsoft настоятельно рекомендует организациям в приоритетном порядке устанавливать обновления безопасности для устранения уязвимостей повышения привилегий — это создаёт дополнительный барьер на случай, если злоумышленники уже проникли в систему.


Этот материал представляет собой технический анализ эксплойта CLFS и сопутствующей вредоносной активности, зафиксированной у клиентов Microsoft. Информация предоставляется с целью повышения осведомлённости, улучшения обнаружения подобных атак и ускорения процесса патчинга или других мер реагирования. В конце статьи приведены индикаторы компрометации и рекомендации по защите.



CVE-2025-29824: Уязвимость нулевого дня в Common Log File System (CLFS)​

Обнаруженный эксплойт использует уязвимость в драйвере ядра CLFS. При успешной атаке злоумышленник, обладающий правами обычного пользователя, может получить повышенные привилегии. Уязвимость отслеживается как CVE-2025-29824 и была закрыта обновлением 8 апреля 2025 года.



Действия до эксплуатации​


Хотя Microsoft не установила точные векторы изначального доступа, в нескольких случаях были зафиксированы характерные действия группы Storm-2460. Злоумышленники использовали утилиту certutil для загрузки файла с легитимного стороннего сайта, ранее взломанного и использованного в качестве хостинга вредоносного ПО.

Загруженный файл представлял собой вредоносный скрипт MSBuild с зашифрованной вредоносной нагрузкой. После расшифровки и выполнения с использованием обратного вызова API EnumCalendarInfoA, была активирована программа PipeMagic. Компания Kaspersky описала эту вредоносную программу в октябре 2024 года. Ранее, в 2023 году, исследователи ESET также связывали использование PipeMagic с эксплуатацией нулевой уязвимости в Win32k (CVE-2025-24983).


Один из задействованных доменов:
aaaaabbbbbbb.eastus.cloudapp.azure[.]com
Этот домен впоследствии был отключён Microsoft.



Эксплуатация уязвимости CLFS​


После запуска PipeMagic атакующие активировали эксплойт CLFS из процесса dllhost.exe.

Эксплойт задействует уязвимость в драйвере ядра CLFS и использует API NtQuerySystemInformation для утечки адресов ядра в пользовательский режим. Однако начиная с Windows 11 версии 24H2, доступ к определённым классам системной информации через этот API ограничен только пользователям с правами SeDebugPrivilege (обычно администраторам). Это делает эксплойт неэффективным на таких системах, даже если уязвимость всё ещё присутствует.


Затем используется повреждение памяти с помощью API RtlSetAllBits для замены токена процесса на значение 0xFFFFFFFF, что активирует все возможные привилегии и позволяет внедряться в процессы от имени SYSTEM.

В процессе эксплуатации создаётся файл формата BLF по следующему пути:
C:\ProgramData\SkyPDF\PDUDrv.blf



Действия после эксплуатации и вымогательское ПО​

После получения привилегий происходит инъекция полезной нагрузки в winlogon.exe, которая затем внедряет procdump.exe (из набора Sysinternals) в другой процесс dllhost.exe и запускает его со следующей командной строкой:

C:\Windows\system32\dllhost.exe -accepteula -r -ma lsass.exe c:\programdata\[случайные буквы]

Это позволяет атакующим получить дамп памяти процесса LSASS и извлечь из него учётные данные пользователей.

Затем Microsoft зафиксировала активность вымогательского ПО: файлы были зашифрованы, к их именам добавлялось случайное расширение, а также оставлялась записка с выкупом под именем !READ_ME_REXX2!.txt. Эту активность Microsoft также приписывает группе Storm-2460.

Хотя образец вредоносного ПО получить не удалось, были отмечены следующие особенности:
  • В записках вымогателей упоминаются два .onion-домена:

jbdg4buq6jd7ed3rd6cynqtq5abttuekjnxqrqyvk4xam5i7ld33jvqd.onion (связан с семейством RansomEXX)
uyhi3ypdkfeymyf5v35pbk3pz7st3zamsbjzf47jiqbcm3zmikpwf3qd.onion

  • Вымогатель запускается из dllhost.exe с параметром:
    --do [путьквымогателю], например:
    C:\Windows\system32\dllhost.exe --do C:\foobar
  • Расширение файлов — уникально для каждого устройства, но одинаково для всех файлов на нём.
  • Применяются команды, затрудняющие восстановление и анализ:

Код:
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wevtutil cl Application

  • В одном случае злоумышленники запускали notepad.exe с правами SYSTEM.


Рекомендации по защите и смягчению последствий​


Microsoft выпустила обновление безопасности для устранения CVE-2025-29824 8 апреля 2025 года. Системы на базе Windows 11 версии 24H2 не подвержены фактической эксплуатации даже при наличии уязвимости. Организациям настоятельно рекомендуется как можно скорее установить обновления.

Дополнительные меры:
  • Ознакомьтесь с блогом Microsoft «Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself» для системного подхода к защите.
  • Включите облачную защиту в Microsoft Defender Antivirus или аналогичный функционал в другом антивирусе для своевременного обнаружения новых угроз.
  • Используйте обнаружение устройств для повышения прозрачности сети и защиты незарегистрированных/устаревших систем.
  • Активируйте режим блокировки в EDR, чтобы Microsoft Defender for Endpoint мог блокировать вредоносные объекты, даже если другие антивирусы их не видят.
  • Включите автоматическое реагирование и расследование для оперативного устранения инцидентов.
  • Применяйте attack surface reduction rules в Microsoft 365 Defender для предотвращения распространённых техник, используемых в вымогательских атаках.

Источник
 
Назад
Сверху Снизу