Vulnerabilidad CVE-2025-29824: La Explotación de un Día Cero en Windows CLFS Podría Desencadenar Ataques de Ransomware
Reciente el anuncio de la CVE-2025-1449 una vulnerabilidad en el software de Rockwell Automation, otro problema crítico de seguridad que afecta a productos de software ampliamente utilizados está captando la atención de los defensores. CVE-2025-29824 es una vulnerabilidad de día cero en el Sistema de Archivos de Registro Común de Windows (CLFS) que da luz verde a los actores de amenazas para escalar privilegios a SYSTEM en sistemas Windows ya comprometidos. La falla, que ha sido explotada en la naturaleza y podría ser potencialmente armada en ataques de ransomware, ha sido recientemente corregida.
Con las amenazas cibernéticas volviéndose cada vez más sofisticadas, mantenerse a la vanguardia requiere detección proactiva para minimizar la superficie de ataque. Explore SOC Prime Platform para acceder a la biblioteca de casos de uso más grande del mundo en detección como código y tomar acción inmediata sobre cualquier amenaza específica de la organización en menos de 60 segundos. Haga clic Explore Detections para acceder a una colección completa de reglas Sigma etiquetadas por “CVE” y aproveche una fusión incomparable de tecnologías respaldadas por IA y ML para potenciar la detección y caza de amenazas.
Los algoritmos de detección se pueden usar en múltiples tecnologías SIEM, EDR y Data Lake, están mapeados a MITRE ATT&CK® para una investigación de amenazas simplificada, y están enriquecidos con contexto de amenaza accionable, incluyendo CTI enlaces, líneas de tiempo de ataque, configuraciones de auditoría y otros metadatos relevantes.
Análisis de CVE-2025-29824
El equipo de Microsoft ha identificado recientemente una vulnerabilidad de elevación de privilegios de día cero en el CLFS de Windows que está siendo explotada después del compromiso inicial. Esta falla rastreada como CVE-2025-29824 con un puntaje CVSS de 7.8 ha afectado a un número limitado de objetivos, incluidas organizaciones en los sectores de TI e inmobiliario en EE. UU., el sector financiero en Venezuela, una empresa de software en España y minoristas en Arabia Saudita.
La explotación de día cero está vinculada al malware PipeMagic, que el grupo Storm-2460 ha utilizado para desplegar ransomware. Aunque el vector de acceso inicial no está claro, Microsoft observó al grupo utilizando la herramienta certutil para descargar un archivo MSBuild malicioso desde un sitio legítimo pero comprometido. Este archivo descifró y ejecutó el malware PipeMagic utilizando la API de devolución de llamada EnumCalendarInfoA.
Una vez desplegado, PipeMagic lanzó el exploit CLFS en memoria a través de dllhost.exe, apuntando al controlador de kernel CLFS. El exploit utilizó NtQuerySystemInformation para filtrar direcciones del kernel y RtlSetAllBits para otorgar privilegios completos, permitiendo la inyección de procesos en procesos SYSTEM.
Los intentos de explotación exitosos apuntaban a que winlogon.exe fuera comprometido con la carga útil inyectada. Luego, los adversarios aplicaron la utilidad de línea de comandos procdump.exe para volcar la memoria de LSASS, facilitando el robo de credenciales. Después de esto, los actores de amenazas desplegaron ransomware, cifrando archivos, agregando extensiones aleatorias y dejando una nota de rescate.
Microsoft lanzó parches para CVE-2025-29824 el 8 de abril de 2025. Notablemente, los sistemas que ejecutan Windows 11, versión 24H2, permanecen no afectados por la actividad del exploit observada a pesar de la existencia de la falla. Como mitigación potencial para CVE-2025-29824, los defensores recomiendan priorizar la aplicación de parches para ayudar a prevenir la propagación del ransomware si los atacantes logran romper las defensas iniciales.
Para minimizar los riesgos de explotación de fallas de escalada de privilegios similares, días cero críticos y otros CVEs conocidos, SOC Prime Platform proporciona a los equipos de seguridad un conjunto de productos completo construido sobre una fusión única de tecnologías, respaldado por IA y automatización, y potenciado por información de amenazas en tiempo real para ayudar a organizaciones globales en múltiples verticales de la industria y diversos entornos a escalar sus operaciones SOC. Asegure su lugar el 22 de abril a las 12 PM (EDT) para una mirada profunda a cómo el Ecosistema SOC Prime desbloquea todo el potencial de su pila de seguridad aprovechando el poder de la automatización y la IA.
