Vulnerabilità CVE-2025-29824: Lo sfruttamento di una Zero-Day di Windows CLFS potrebbe innescare attacchi ransomware
Sulla scia del CVE-2025-1449 divulgazione, una vulnerabilità nel software di Rockwell Automation, un altro problema di sicurezza critico che colpisce ampiamente i prodotti software ora sta attirando l’attenzione dei difensori. CVE-2025-29824 è una zero-day vulnerabilità nel Windows Common Log File System (CLFS) che dà il via libera agli attori della minaccia per aumentare i privilegi a SYSTEM su sistemi Windows già compromessi. Il difetto, che è stato sfruttato in natura e potrebbe essere potenzialmente utilizzato come arma in attacchi ransomware è stato recentemente risolto.
Con le minacce informatiche che diventano sempre più sofisticate, restare al passo richiede un rilevamento proattivo per minimizzare la superficie di attacco. Esplora SOC Prime Platform per accedere alla più grande libreria Detection-as-Code al mondo di casi d’uso e agire immediatamente su qualsiasi minaccia specifica dell’organizzazione in meno di 60 secondi. Clicca Esplora le Rilevazioni per raggiungere una collezione completa di regole Sigma etichettate con ‘CVE’ e approfitta di una fusione impareggiabile di tecnologie supportate da AI e ML per potenziare il rilevamento e la caccia alle minacce.
Gli algoritmi di rilevamento possono essere utilizzati su più tecnologie SIEM, EDR e Data Lake, sono mappati a MITRE ATT&CK® per un’indagine sulle minacce più fluida e sono arricchiti con contesto di minaccia azionabile, inclusi CTI link, cronologie degli attacchi, configurazioni di audit e altri metadati pertinenti.
Analisi CVE-2025-29824
Il team di Microsoft ha recentemente identificato una vulnerabilità zero-day di elevazione dei privilegi nel Windows CLFS sfruttata dopo il compromesso iniziale. Questo difetto, tracciato come CVE-2025-29824 con un punteggio CVSS di 7.8 ha colpito un numero limitato di obiettivi, comprese organizzazioni nei settori IT e immobiliare negli Stati Uniti, del settore finanziario in Venezuela, un’azienda di software in Spagna e rivenditori in Arabia Saudita.
Lo sfruttamento zero-day è legato al malware PipeMagic, che il gruppo Storm-2460 ha utilizzato per distribuire ransomware. Mentre il vettore di accesso iniziale non è chiaro, Microsoft ha osservato il gruppo utilizzare lo strumento certutil per scaricare un file MSBuild malevolo da un sito legittimo ma compromesso. Questo file ha decriptato ed eseguito il malware PipeMagic utilizzando il callback API EnumCalendarInfoA.
Una volta distribuito, PipeMagic ha lanciato l’exploit CLFS in memoria tramite dllhost.exe, mirando al driver kernel CLFS. L’exploit ha usato NtQuerySystemInformation per far trapelare indirizzi kernel e RtlSetAllBits per garantire privilegi completi, consentendo l’iniezione di processi nei processi SYSTEM.
I tentativi di sfruttamento riusciti hanno portato a winlogon.exe essere compromesso con il payload iniettato. Successivamente, gli avversari hanno applicato l’utility a riga di comando procdump.exe per scaricare la memoria LSASS facilitando il furto di credenziali. A seguito di ciò, gli attori della minaccia hanno distribuito ransomware, criptando i file, aggiungendo estensioni casuali e lasciando una nota di riscatto.
Microsoft ha rilasciato patch per CVE-2025-29824 l’8 aprile 2025. Nota bene, i sistemi che eseguono Windows 11, versione 24H2, rimangono indenni dall’attività di exploit osservata nonostante l’esistenza del difetto. Come potenziale mitigazione per CVE-2025-29824, i difensori raccomandano di dare priorità alla patch per aiutare a prevenire la diffusione dei ransomware se gli aggressori riuscissero a superare le prime difese.
Per minimizzare i rischi di sfruttamento di simili difetti di escalation di privilegi, zero-day critici e altri CVE noti, SOC Prime Platform fornisce ai team di sicurezza una suite completa di prodotti basata su una fusione unica di tecnologie, supportata da AI e automazione, e alimentata dall’intelligence delle minacce in tempo reale per aiutare le organizzazioni globali in diversi verticali industriali e ambienti diversificati a scalare le loro operazioni SOC. Assicurati un posto il 22 aprile alle 12:00 (EDT) per uno sguardo approfondito su come il SOC Prime Ecosystem libera tutto il potenziale del tuo stack di sicurezza sfruttando il potere dell’automazione e dell’AI.