CVE-2025-29824 脆弱性: Windows CLFS ゼロデイの悪用がランサムウェア攻撃を引き起こす可能性

[post-views]
4月 09, 2025 · 6 分で読めます
CVE-2025-29824 脆弱性: Windows CLFS ゼロデイの悪用がランサムウェア攻撃を引き起こす可能性

の直後に CVE-2025-1449 が公開されたのに続き、Rockwell Automationソフトウェアの脆弱性は、広く使用されているソフトウェア製品に影響を及ぼす別の重大なセキュリティ問題であり、現在防衛者の関心を集めています。CVE-2025-29824は、 ゼロデイ のWindows共通ログファイルシステム(CLFS)の脆弱性で、脅威アクターが既に侵害されたWindowsシステムで権限をSYSTEMに昇格させるための許可を与えます。この欠陥は、野外で悪用されている上に、 ランサムウェア 攻撃に武器化される可能性がありますが、最近修正されました。

サイバー脅威がますます高度化している中、先手を打つには攻撃面を最小化するための積極的な検出が必要です。 SOC Primeプラットフォーム にアクセスして、世界最大のDetection-as-Codeライブラリのユースケースを取得し、組織固有の脅威に即座に対応するためのアクションを60秒以内に取ることができます。 検出を探索 することで、「CVE」でタグ付けされたSigmaルールの包括的なコレクションに到達し、脅威検出とハンティングを可能にするAIと機械学習によって支援された技術の融合を享受できます。

検出を探索

検出アルゴリズムは複数のSIEM、EDR、およびデータレイク技術に渡って使用でき、 MITRE ATT&CK® にマッピングされ、 CTI リンク、攻撃タイムライン、監査設定、その他の関連メタデータを含む、行動可能な脅威コンテキストで強化されています。

CVE-2025-29824の分析

Microsoftのチームは 最近、初期の侵害後に悪用されているWindows CLFS内のゼロデイ権限昇格の脆弱性を特定しました。この欠陥は、 CVE-2025-29824 として追跡され、CVSSスコア7.8で米国のITおよび不動産セクター、ベネズエラの金融セクター、スペインのソフトウェア会社、およびサウジアラビアの小売業者を含む限られた数のターゲットに影響を与えました。

ゼロデイの悪用は、Storm-2460グループがランサムウェアを展開するために使用したPipeMagicマルウェアに関連しています。初期アクセスベクトルは不明ですが、Microsoftはグループが正規だが侵害されたサイトから悪意のあるMSBuildファイルをダウンロードするためにcertutilツールを使用していることを観察しました。このファイルはEnumCalendarInfoA APIコールバックを使用してPipeMagicマルウェアを復号化して実行しました。

展開されると、PipeMagicはメモリ内でdllhost.exe経由でCLFSエクスプロイトを開始し、CLFSカーネルドライバーを標的としました。エクスプロイトはNtQuerySystemInformationを使用してカーネルアドレスを漏洩させ、RtlSetAllBitsを使用してプロセス注入を利用し、SYSTEMプロセスへのフル権限を与えました。

成功したエクスプロイト試行は、 winlogon.exe の侵入されたペイロードへの関連を引き起こしました。続いて敵対者は、 procdump.exe コマンドラインユーティリティを使用して LSASS メモリをダンプすることで、資格情報の盗難を促進しました。その後、脅威アクターはランサムウェアを配備し、ファイルを暗号化し、ランダムな拡張子を追加し、身代金を要求するノートを残しました。

Microsoftは CVE-2025-29824に対するパッチ を2025年4月8日に展開しました。特に、Windows 11バージョン24H2を実行しているシステムは、欠陥が存在しているにもかかわらず、観測されたエクスプロイト活動の影響を受けていません。CVE-2025-29824の潜在的な緩和策として、防衛者は、攻撃者が初期防御を突破した場合にランサムウェアの拡散を防ぐためにパッチ適用を優先することを勧めています。

同様の権限昇格の脆弱性、重大なゼロデイ、その他の既知のCVEの悪用リスクを最小化するために、 SOC Primeプラットフォーム は、セキュリティチームにAIと自動化によって支援され、リアルタイムの脅威インテリジェンスによって強化されているユニークな技術の融合に基づいた完全な製品スイートを提供し、複数の産業分野および多様な環境でSOC操作をスケールするのを助けます。 あなたの席を確保 2025年4月22日12時 (EDT) に、SOC Prime Ecosystemが自動化とAIの力をどのように活用して、セキュリティスタックの潜在能力を最大限に引き出すかについての詳細な説明を受けるために。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
ブログ, 最新の脅威 — 10 分で読めます
CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
Veronika Telychko
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
ブログ, 最新の脅威 — 8 分で読めます
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
Veronika Telychko
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
ブログ, 最新の脅威 — 9 分で読めます
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
Veronika Telychko