A Microsoft revelou que uma falha de segurança agora corrigida que impactava o Sistema de Arquivos de Log Comum do Windows (CLFS) foi explorada como um zero-day em ataques de ransomware direcionados a um pequeno número de alvos.
"Os alvos incluem organizações nos setores de tecnologia da informação (IT) e imobiliário dos Estados Unidos, o setor financeiro na Venezuela, uma empresa de software espanhola e o setor de varejo na Arábia Saudita", disse a gigante da tecnologia.
A vulnerabilidade em questão é a
CVE-2025-29824
, um bug de escalonamento de privilégios no CLFS que poderia ser explorado para alcançar privilégios de SYSTEM.
Ela foi corrigida pela Redmond como parte de sua atualização de Patch Tuesday de abril de 2025.
A Microsoft está monitorando a atividade e a exploração pós-comprometimento da
CVE-2025-29824
sob o codinome Storm-2460, com os atores de ameaça também utilizando um malware chamado PipeMagic para entregar o exploit, bem como payloads úteis de ransomware.
O vetor de acesso inicial exato usado nos ataques atualmente não é conhecido.
No entanto, observou-se que os atores de ameaça usam a utilidade certutil para baixar malware de um site legítimo de terceiros que foi previamente comprometido para armazenar os payloads úteis.
O malware é um arquivo malicioso MSBuild que contém um payload útil criptografada, que é então descompactada para lançar o PipeMagic, um trojan baseado em plugins que foi detectado "in the wild" desde 2022.
Vale mencionar aqui que a
CVE-2025-29824
é a segunda falha zero-day do Windows a ser entregue via PipeMagic depois da
CVE-2025-24983
, um bug de escalonamento de privilégios do Subsistema de Kernel Win32 do Windows, que foi identificado pela ESET e corrigido pela Microsoft no mês passado.
Anteriormente, o PipeMagic também foi observado em conexão com ataques de ransomware Nokoyawa que exploraram outra falha zero-day do CLFS (
CVE-2023-28252
).
"Em alguns dos outros ataques que atribuímos ao mesmo ator, também observamos que, antes de explorar a vulnerabilidade de elevação de privilégios do CLFS, as máquinas das vítimas foram infectadas com um backdoor modular personalizado chamado 'PipeMagic' que é lançado via um script MSBuild", apontou a Kaspersky em abril de 2023.
É crucial notar que o Windows 11, versão 24H2, não é afetado por essa exploração específica, já que o acesso a certas Classes de Informação do Sistema dentro do NtQuerySystemInformation é restrito a usuários com SeDebugPrivilege, que normalmente apenas usuários semelhantes a admin podem obter.
O exploit visa uma vulnerabilidade no driver do kernel do CLFS", explicou a equipe de Inteligência de Ameaças da Microsoft.
O exploit então utiliza uma corrupção de memória e a API RtlSetAllBits para sobrescrever o token do processo de exploit com o valor 0xFFFFFFFF, habilitando todos os privilégios para o processo, que permite a injeção de processo em processos SYSTEM.
A exploração bem-sucedida é seguida pelo ator de ameaça extraindo credenciais de usuário ao despejar a memória do LSASS e criptografando arquivos no sistema com uma extensão aleatória.
A Microsoft disse que não conseguiu obter uma amostra de ransomware para análise, mas disse que a nota de resgate deixada após a criptografia incluía um domínio TOR vinculado à família de ransomware RansomEXX.
"Atores de ameaça de ransomware valorizam exploits de elevação de privilégios pós-compromisso porque isso pode permitir que eles escalem o acesso inicial, incluindo transferências de distribuidores de malware de commodity, para um acesso privilegiado", disse a Microsoft.
Eles então usam o acesso privilegiado para implantação e detonação generalizada de ransomware dentro de um ambiente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...