Vulnérabilité CVE-2025-29824 : L’exploitation d’un Zero-Day de Windows CLFS pourrait déclencher des attaques par ransomware
Dans la foulée de la CVE-2025-1449 divulgation, une vulnérabilité dans le logiciel Rockwell Automation, un autre problème de sécurité critique affectant des produits logiciels largement utilisés attire désormais l’attention des défenseurs. CVE-2025-29824 est une faille zero-day dans le système de fichiers journaux de Windows (CLFS) qui donne aux acteurs malveillants le feu vert pour escalader les privilèges à SYSTEM sur des systèmes Windows déjà compromis. La faille, qui a été exploitée dans la nature et pourrait être potentiellement militarisée dans des attaques par ransomware, a récemment été corrigée.
Avec des menaces cybernétiques de plus en plus sophistiquées, prendre de l’avance nécessite une détection proactive pour minimiser la surface d’attaque. Explorez la plateforme SOC Prime pour accéder à la plus grande bibliothèque mondiale de cas d’usage sous la forme Detection-as-Code et prenez des mesures immédiates sur toute menace spécifique à l’organisation en moins de 60 secondes. Cliquez sur Explorer les détecteurs pour accéder à une collection complète de règles Sigma étiquetées par « CVE » et profitez d’une fusion inégalée de technologies soutenues par l’IA et le ML pour renforcer la détection et la chasse aux menaces.
Les algorithmes de détection peuvent être utilisés sur plusieurs technologies SIEM, EDR et Data Lake, sont mappés à MITRE ATT&CK® pour une enquête sur les menaces rationalisée, et sont enrichis de contextes de menace exploitables, incluant CTI des liens, des chronologies d’attaques, des configurations d’audit, et d’autres métadonnées pertinentes.
Analyse de CVE-2025-29824
L’équipe de Microsoft a récemment identifié une vulnérabilité d’élévation de privilèges zero-day dans le CLFS de Windows exploitée après le compromis initial. Cette faille suivie sous CVE-2025-29824 avec un score CVSS de 7,8 a affecté un nombre limité de cibles, y compris des organisations dans les secteurs informatique et immobilier aux États-Unis, le secteur financier au Venezuela, une entreprise de logiciels en Espagne et des détaillants en Arabie Saoudite.
L’exploitation zero-day est liée au malware PipeMagic, que le groupe Storm-2460 a utilisé pour déployer un ransomware. Bien que le vecteur d’accès initial ne soit pas clair, Microsoft a observé le groupe utilisant l’outil certutil pour télécharger un fichier MSBuild malveillant depuis un site légitime mais compromis. Ce fichier a déchiffré et exécuté le malware PipeMagic en utilisant le rappel API EnumCalendarInfoA.
Une fois déployé, PipeMagic a lancé l’exploit CLFS en mémoire via dllhost.exe, ciblant le pilote noyau CLFS. L’exploit a utilisé NtQuerySystemInformation pour divulguer des adresses du noyau et RtlSetAllBits pour accorder tous les privilèges, permettant une injection de processus dans les processus SYSTEM.
Les tentatives d’exploitation réussies ont conduit à la compromission de winlogon.exe avec la charge utile injectée. Puis les adversaires ont appliqué l’utilitaire en ligne de commande procdump.exe pour extraire la mémoire de LSASS, facilitant ainsi le vol d’identifiants. À la suite de cela, les acteurs de la menace ont déployé des ransomwares, chiffrant les fichiers, en ajoutant des extensions aléatoires, et laissant derrière eux une note de rançon nommée.
Microsoft a déployé des correctifs pour CVE-2025-29824 le 8 avril 2025. Notamment, les systèmes exécutant Windows 11, version 24H2, restent non affectés par l’activité d’exploitation observée malgré l’existence des failles. Comme éventuelle atténuation pour CVE-2025-29824, les défenseurs recommandent de prioriser l’application de correctifs pour aider à empêcher la propagation des ransomwares si les attaquants parviennent à percer les défenses initiales.
Pour minimiser les risques d’exploitation de failles d’élévation de privilège similaires, de zero-days critiques et d’autres CVEs connus, la plateforme SOC Prime fournit des équipes de sécurité avec une suite complète de produits construite sur une fusion unique de technologies, soutenue par l’IA et l’automatisation, et alimentée par le renseignement sur les menaces en temps réel pour aider les organisations mondiales à travers plusieurs secteurs d’activités et des environnements divers à faire évoluer leurs opérations SOC. Réservez votre place le 22 avril à 12h (EDT) pour un aperçu approfondi de la façon dont l’écosystème SOC Prime libère tout le potentiel de votre pile de sécurité en exploitant la puissance de l’automatisation et de l’IA.
