CVE-2025-29824-Sicherheitslücke: Ausnutzung eines Windows CLFS Zero-Day könnte Ransomware-Angriffe auslösen

Direkt nach der CVE-2025-1449 Offenlegung, einer Schwachstelle in Rockwell Automation Software, zieht ein weiteres kritisches Sicherheitsproblem, das weit verbreitete Softwareprodukte betrifft, die Aufmerksamkeit der Verteidiger auf sich. CVE-2025-29824 ist eine Zero-Day Schwachstelle im Windows Common Log File System (CLFS), die Bedrohungsakteuren grünes Licht gibt, um auf bereits kompromittierten Windows-Systemen Berechtigungen auf SYSTEM-Ebene zu eskalieren. Der Fehler, der bereits in freier Wildbahn ausgenutzt wurde und potenziell in Ransomware- Angriffen eingesetzt werden könnte, wurde kürzlich behoben.

Da Cyberbedrohungen immer komplexer werden, erfordert es ein proaktives Erkennen, um die Angriffsfläche zu minimieren. Entdecken Sie die SOC Prime Plattform , um auf die weltweit größte Detection-as-Code-Bibliothek von Anwendungsfällen zuzugreifen und innerhalb von weniger als 60 Sekunden sofort auf jede unternehmensspezifische Bedrohung zu reagieren. Klicken Sie auf Erkunden Sie Erkennungen , um eine umfassende Sammlung von Sigma-Regeln zu erreichen, die mit „CVE“ gekennzeichnet sind, und profitieren Sie von einer unvergleichlichen Fusion von Technologien, die von KI und ML unterstützt werden, um die Bedrohungserkennung und -jagd zu stärken.

Erkunden Sie Erkennungen

Erkennungsalgorithmen können über mehrere SIEM-, EDR- und Data Lake-Technologien hinweg eingesetzt werden, sind auf MITRE ATT&CK® für eine optimierte Bedrohungsermittlung abgebildet und werden mit verwertbarem Bedrohungskontext, einschließlich CTI Links, Angriffszeitplänen, Konfigurationsprüfungen und anderen relevanten Metadaten, angereichert.

CVE-2025-29824 Analyse

Microsofts Team hat kürzlich eine Zero-Day-Berechtigungseskalations-Schwachstelle im Windows CLFS identifiziert, die nach der anfänglichen Kompromittierung ausgenutzt wird. Dieser Fehler, der als CVE-2025-29824 verfolgt wird, mit einem CVSS-Wert von 7,8, hat eine begrenzte Anzahl von Zielen betroffen, darunter IT- und Immobiliensektor-Organisationen in den USA, den Finanzsektor in Venezuela, ein Softwareunternehmen in Spanien und Einzelhändler in Saudi-Arabien.

Die Zero-Day-Ausnutzung steht im Zusammenhang mit der PipeMagic-Malware, die von der Gruppe Storm-2460 zur Bereitstellung von Ransomware verwendet wurde. Während der initiale Zugriffspfad unklar ist, beobachtete Microsoft, dass die Gruppe das certutil-Werkzeug nutzte, um eine bösartige MSBuild-Datei von einer legitimen, aber kompromittierten Seite herunterzuladen. Diese Datei entschlüsselte und führte die PipeMagic-Malware mithilfe der EnumCalendarInfoA-API-Rückruf aus.

Nach der Bereitstellung startete PipeMagic den CLFS-Exploit im Speicher über dllhost.exe, der auf den CLFS-Kerntreiber abzielte. Der Exploit nutzte NtQuerySystemInformation, um Kerneladressen zu leaken, und RtlSetAllBits, um volle Rechte zu gewähren, was eine Prozessinjektion in SYSTEM-Prozesse ermöglichte.

Erfolgreiche Ausnutzungsversuche führten dazu, dass winlogon.exe mit der injizierten Nutzlast kompromittiert wurde. Anschließend setzten die Angreifer das procdump.exe Kommandozeilenprogramm ein, um den LSASS- Speicher zu dumpen, was Credential-Diebstahl erleichterte. Danach setzten die Bedrohungsakteure Ransomware ein, die Dateien verschlüsselte, zufällige Erweiterungen anfügte und eine Lösegeldnotiz hinterließ.

Microsoft hat Patches für CVE-2025-29824 am 8. April 2025 veröffentlicht. Bemerkenswert ist, dass Systeme, die unter Windows 11, Version 24H2, laufen, trotz des Vorhandenseins des Fehlers von den beobachteten Exploit-Aktivitäten unberührt bleiben. Als potenzielle Abhilfemaßnahme für CVE-2025-29824 empfehlen Verteidiger eine priorisierte Patch-Verwaltung, um zu verhindern, dass sich Ransomware ausbreitet, falls Angreifer die ersten Verteidigungslinien durchbrechen.

Um die Risiken der Ausnutzung ähnlicher Berechtigungseskalations-Schwachstellen, kritischer Zero-Days und anderer bekannter CVEs zu minimieren, SOC Prime Plattform bietet Sicherheitsteams eine vollständige Produktreihe basierend auf einer einzigartigen Fusion von Technologien, unterstützt von KI und Automatisierung, und angetrieben von Echtzeit-Bedrohungsintelligenz, um globalen Organisationen über mehrere Branchen und unterschiedliche Umgebungen hinweg zu helfen, ihre SOC-Aktivitäten zu skalieren. Sichern Sie sich Ihren Platz am 22. April um 12 Uhr (EDT) für einen detaillierten Einblick in die Möglichkeiten, wie das SOC Prime Ecosystem das volle Potenzial Ihres Sicherheitsstacks erschließt, indem es die Kraft der Automatisierung und KI nutzt.