管道邪术木马使用Windows零日毛病部署勒索软件

微软披露，一个现已修复的影响Windows通用日记文件体系（CLFS）的安全毛病曾被作为零日毛病用于针对少数目的的勒索软件攻击中。
01
攻击目的与毛病详情
这家科技巨头表示："受害者包罗美国信息技能（IT）和房地产行业构造、委内瑞拉金融行业企业、一家西班牙软件公司以及沙特阿拉伯零售行业机构。"相干毛病编号为CVE-2025-29824，是CLFS中的一个权限提升毛病，攻击者可使用该毛病获取SYSTEM权限。微软已在2025年4月的补丁星期二更新中修复该毛病。
微软将CVE-2025-29824毛病的使用活动追踪命名为Storm-2460，攻击者还使用名为PipeMagic的恶意软件来投递毛病使用步调及勒索软件载荷。
02
攻击伎俩分析
目前尚不清楚攻击者使用的初始入侵途径。但安全职员观察到攻击者使用certutil工具从先前已被入侵的正当第三方网站下载恶意软件以投放载荷。该恶意软件是一个包罗加密载荷的恶意MSBuild文件，解密后会启动PipeMagic——这是一个基于插件的木马步调，自2022年起就已在野外被发现。
值得注意的是，CVE-2025-29824是继CVE-2025-24983之后第二个通过PipeMagic流传的Windows零日毛病。CVE-2025-24983是Windows Win32内核子体系的权限提升毛病，上月由ESET陈诉并被微软修复。此前，PipeMagic还曾与使用另一个CLFS零日毛病（CVE-2023-28252）的Nokoyawa勒索软件攻击有关联。
卡巴斯基在2023年4月指出："在我们归因于同一攻击者的其他攻击中，还观察到在使用CLFS权限提升毛病前，受害机器已感染了通过MSBuild脚本启动的定制模块化后门步调'PipeMagic'。"
03
技能细节与影响范围
需要特殊注意的是，Windows 11 24H2版本不受此特定毛病使用影响，因为该版本限制了NtQuerySystemInformation中某些体系信息类的访问权限，仅授予具有SeDebugPrivilege的用户（通常只有管理员级别用户才能获取）。
微软威胁情报团队解释称："该毛病使用针对CLFS内核驱动步调中的毛病。攻击者随后使用内存损坏和RtlSetAllBits API将毛病使用进程的令牌覆盖为0xFFFFFFFF值，从而为进程启用所有权限，使其能够注入SYSTEM进程。"
04
攻击后续举动
乐成使用毛病后，攻击者会通过转储LSASS内存来提取用户凭证，并使用随机扩展名加密体系文件。微软表示未能获取勒索软件样本进行分析，但指出加密后留下的勒索阐明中包罗与RansomEXX勒索软件家族相干的TOR域名。
微软强调："勒索软件攻击者非常重视入侵后的权限提升毛病使用，因为这能资助他们将初始访问权限（包罗从寻常恶意软件分销商处得到的权限）提升为特权访问。随后他们会使用特权访问权限在环境中广泛部署和引爆勒索软件。"

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。