CVE-2025-29824 취약점: Windows CLFS 제로데이 악용으로 랜섬웨어 공격 촉발 가능성

최신 공개된 CVE-2025-1449 에 따르면 Rockwell Automation 소프트웨어의 취약점에 이어 널리 사용되는 소프트웨어 제품에 영향을 미치는 또 다른 중요한 보안 문제가 이제 방어자의 주목을 받고 있습니다. CVE-2025-29824는 제로데이 취약점으로, Windows Common Log File System (CLFS)에서 발견되어 위협 행위자가 이미 손상된 Windows 시스템에서 접근 권한을 SYSTEM으로 상승시킬 수 있는 길을 열어줍니다. 이 결함은 이미 공격에 익스플로잇되었으며 랜섬웨어 공격에서 무기로 사용될 가능성이 있었으나, 최근 패치되었습니다.

사이버 위협이 점점 정교해짐에 따라, 공격 표면을 최소화하기 위해 선제적인 탐지가 필요합니다. 탐지 사례로 구성된 세계 최대의 Detection-as-Code 라이브러리에 접근하고, 60초 이내에 조직별 위협에 즉각적으로 대응할 수 있는 SOC 프라임 플랫폼 을/를 탐색하십시오. Sigma 규칙으로 태그된 ‘CVE’의 종합 컬렉션을 찾아보고, AI 및 ML 지원 기술의 독보적인 융합을 활용하여 위협 감지 및 탐지술을 강화하십시오. 탐지 탐색 알고리즘은 여러 SIEM, EDR, Data Lake 기술에서 사용할 수 있으며, 위협 조사를 간소화하기 위해

탐지 탐색

MITRE ATT&CK® 에 매핑되고, 링크, 공격 타임라인, 감사 구성을 포함한 실행 가능한 위협 컨텍스트가 포함된 메타데이터로 강화됩니다. CVE-2025-29824 분석 CTI links, attack timelines, audit configurations, and other relevant metadata. 

Microsoft 팀

은/는 Windows CLFS에서 지위 상승 제로데이 취약점이 초기 손상 이후에 익스플로잇 되고 있음을 최근에 발견했습니다. 이 결함은 로 추적되며 CVSS 점수 7.8를 가지고 있으며, 미국의 IT 및 부동산 부문, 베네수엘라의 금융 부문, 스페인의 소프트웨어 회사, 사우디아라비아의 소매업체 등 제한된 수의 타겟에 영향을 미쳤습니다. 로 추적되며 CVSS 점수 7.8를 가지고 있으며, 미국의 IT 및 부동산 부문, 베네수엘라의 금융 부문, 스페인의 소프트웨어 회사, 사우디아라비아의 소매업체 등 제한된 수의 타겟에 영향을 미쳤습니다. 제로데이 익스플로잇은 Storm-2460 그룹이 랜섬웨어를 배포하는 데 사용하는 PipeMagic 악성코드와 관련이 있습니다. 초기 접근 벡터는 불분명하지만, Microsoft는 이 그룹이 합법적이지만 손상된 사이트에서 악성 MSBuild 파일을 다운로드하기 위해 certutil 도구를 사용하는 것을 관찰했습니다. 이 파일은 PipeMagic 악성코드를 공개하고 실행하기 위해 EnumCalendarInfoA API 콜백을 사용하여 암호 해독 및 실행하였습니다.

배포되면 PipeMagic은 dllhost.exe를 통해 메모리에서 CLFS 익스플로잇을 시작하여 CLFS 커널 드라이버를 타겟으로 삼습니다. 이 익스플로잇은 NtQuerySystemInformation을 이용해 커널 주소를 누출하고, RtlSetAllBits를 사용해 완전한 권한을 부여하며, SYSTEM 프로세스로의 프로세스 주입을 가능하게 합니다.

성공적인 익스플로잇 시도는

가 주입된 페이로드로 손상되어 있습니다. 그런 다음 적들은 가 주입된 페이로드로 손상되어 있습니다. 그런 다음 적들은 명령줄 유틸리티를 사용하여 명령줄 유틸리티를 사용하여 메모리를 덤프하여 인증 정보를 탈취하도록 했습니다. 이후 위협 행위자들은 파일을 암호화하여 무작위로 확장자를 추가하고 랜섬 노트를 남겼습니다. 메모리를 덤프하여 인증 정보를 탈취하도록 했습니다. 이후 위협 행위자들은 파일을 암호화하여 무작위로 확장자를 추가하고 랜섬 노트를 남겼습니다. Microsoft는 4월 8일, 2025년에

CVE-2025-29824에 대한 패치를 공개했습니다. Windows 11, 버전 24H2를 실행 중인 시스템은 이 결함이 존재함에도 불구하고 관찰된 익스플로잇 활동의 영향을 받지 않습니다. CVE-2025-29824에 대한 잠재적 완화 조치로, 방어자들은 패치를 우선적으로 적용하여 공격자가 초기 방어선을 뚫으면 랜섬웨어의 확산을 방지하도록 추천합니다. 유사한 권한 상승 취약점, 중요한 제로데이 및 기타 알려진 CVEs의 익스플로잇 위험을 최소화하기 위해, 보안 팀에게 AI 및 자동화에 의해 지원되는 고유의 기술 융합에 기반한 완전한 제품군을 제공하며, 이는 여러 산업 분야 및 다양한 환경에서 SOC 운영을 확장하는 글로벌 조직을 지원하기 위한 실시간 위협 인텔을 제공합니다.

4월 22일 오전 12시 (EDT)에 SOC 프라임 플랫폼 자리를 확보하세요 자동화 및 AI의 힘을 활용하여 SOC Prime 생태계가 어떻게 보안 스택의 잠재력을 최대한 발휘할 수 있는지를 심층적으로 살펴보십시오. on April 22 at 12 PM (EDT) for an in-depth look at how SOC Prime Ecosystem unlocks the full potential of your security stack by harnessing the power of automation and AI.