Vulnerabilidade CVE-2025-29824: Exploração de um Zero-Day no Windows CLFS Pode Desencadear Ataques de Ransomware
Logo após a divulgação de CVE-2025-1449 , uma vulnerabilidade no software da Rockwell Automation, outro problema crítico de segurança afetando produtos de software amplamente usados está agora chamando a atenção dos defensores. CVE-2025-29824 é uma zero-day vulnerabilidade no Windows Common Log File System (CLFS) que dá carta branca aos agentes de ameaça para escalar privilégios ao SISTEMA em sistemas Windows já comprometidos. A falha, que foi explorada em campo e pode ser potencialmente usada em ataques de ransomware , foi recentemente corrigida.
Com as ameaças cibernéticas se tornando cada vez mais sofisticadas, antecipar-se requer detecção proativa para minimizar a superfície de ataque. Explore a Plataforma SOC Prime para acessar a maior biblioteca de Detecção como Código do mundo com casos de uso e tome medidas imediatas contra qualquer ameaça específica da organização em menos de 60 segundos. Clique em Explorar Detecções para acessar uma coleção abrangente de regras Sigma marcadas por “CVE” e aproveitar uma fusão sem precedentes de tecnologias suportadas por IA e ML para capacitar a detecção e caça de ameaças.
Os algoritmos de detecção podem ser usados em diversas tecnologias SIEM, EDR e Data Lake, são mapeados para MITRE ATT&CK® para uma investigação simplificada de ameaças e são enriquecidos com contexto de ameaça acionável, incluindo CTI links, cronogramas de ataque, configurações de auditoria e outros metadados relevantes.
Análise do CVE-2025-29824
A equipe da Microsoft recentemente identificou uma vulnerabilidade zero-day de elevação de privilégio no Windows CLFS sendo explorada após a compra inicial. Essa falha acompanhada como CVE-2025-29824 com uma pontuação CVSS de 7.8 afetou um número limitado de alvos, incluindo organizações nos setores de TI e imobiliário nos EUA, o setor financeiro na Venezuela, uma empresa de software na Espanha e varejistas na Arábia Saudita.
A exploração do zero-day está ligada ao malware PipeMagic, que o grupo Storm-2460 usou para implantar ransomware. Enquanto o vetor de acesso inicial é incerto, a Microsoft observou o grupo usando a ferramenta certutil para baixar um arquivo MSBuild malicioso de um site legítimo, mas comprometido. Este arquivo descriptografou e executou o malware PipeMagic usando a callback da API EnumCalendarInfoA.
Uma vez implantado, o PipeMagic lançou o exploit do CLFS na memória através do dllhost.exe, visando o driver do kernel CLFS. O exploit utilizou NtQuerySystemInformation para vazar endereços do kernel e RtlSetAllBits para conceder privilégios totais, permitindo injeção de processo em processos do SISTEMA.
Tentativas bem-sucedidas de exploração resultaram em winlogon.exe sendo comprometido com o payload injetado. Então os adversários aplicaram o utilitário de linha de comando procdump.exe para despejar a memória do LSASS , facilitando o roubo de credenciais. Em seguida, os agentes de ameaça implantaram ransomware, criptografando arquivos, anexando extensões aleatórias e deixando para trás uma nota de resgate nomeada.
A Microsoft lançou correções para CVE-2025-29824 em 8 de abril de 2025. Notavelmente, sistemas executando Windows 11, versão 24H2, permanecem não afetados pela atividade de exploração observada apesar da existência das falhas. Como medida potencial para mitigar o CVE-2025-29824, os defensores recomendam priorizar a aplicação de patches para ajudar a prevenir a propagação de ransomware se os atacantes conseguirem violar as defesas iniciais.
Para minimizar os riscos de exploração de falhas de escalonamento de privilégio semelhantes, zero-days críticos e outros CVEs conhecidos, Plataforma SOC Prime fornece às equipes de segurança um conjunto completo de produtos construído em uma fusão única de tecnologias, suportado por IA e automação, e alimentado por inteligência de ameaças em tempo real para ajudar organizações globais em diversos setores da indústria e ambientes diversos a escalar suas operações de SOC. Garanta seu lugar em 22 de abril às 12 PM (EDT) para uma visão aprofundada de como o Ecossistema SOC Prime libera todo o potencial do seu stack de segurança aproveitando o poder da automação e IA.
