A Microsoft informou que o grupo de ransomware RansomEXX vem explorando uma falha zero-day de alta gravidade no Sistema de Arquivos de Log Comum do Windows (Windows Common Log File System) para obter privilégios de SYSTEM nos sistemas das vítimas.
A vulnerabilidade, identificada como
CVE-2025-29824
, foi corrigida durante a atualização de segurança deste mês, conhecida como Patch Tuesday, e foi explorada apenas em um número limitado de ataques.
O
CVE-2025-29824
é causado por uma fraqueza do tipo use-after-free que permite a atacantes locais com privilégios baixos obterem privilégios de SYSTEM em ataques de baixa complexidade que não requerem interação do usuário.
Embora a empresa tenha lançado atualizações de segurança para as versões do Windows afetadas, a liberação de patches para os sistemas Windows 10 x64 e 32 bits foi adiada, com previsão de serem lançados o mais rápido possível.
"Os alvos incluem organizações nos setores de tecnologia da informação (TI) e imobiliário nos Estados Unidos, o setor financeiro na Venezuela, uma empresa espanhola de software e o setor de varejo na Arábia Saudita", revelou a Microsoft hoje.
Clientes utilizando o Windows 11, versão 24H2 não são afetados pela exploração observada, mesmo que a vulnerabilidade estivesse presente.
A Microsoft insta os clientes a aplicarem estas atualizações o mais rápido possível.
A Microsoft vinculou esses ataques ao grupo de ransomware RansomEXX, que ela monitora como Storm-2460.
Os atacantes instalam inicialmente o malware de backdoor PipeMagic nos sistemas comprometidos, que foi utilizado para implantar o exploit
CVE-2025-29824
, payloads de ransomware e as notas de resgate !_READ_ME_REXX2_!.txt após a criptografia dos arquivos.
Conforme relatado pela ESET no mês passado, o PipeMagic também foi usado para implantar exploits que visam uma falha zero-day no Subsistema Kernel Win32 do Windows (
CVE-2025-24983
) desde março de 2023.
Descoberto pela Kaspersky em 2022, o malware pode coletar dados sensíveis, fornecer acesso remoto completo aos dispositivos infectados e habilitar os atacantes a implantar payloads maliciosos adicionais para se mover lateralmente pelas redes das vítimas.
Em 2023, a Kaspersky identificou este backdoor ao investigar ataques com o ransomware Nokoyawa.
Esses ataques exploraram outra falha zero-day no Driver do Sistema de Arquivos de Log Comum do Windows, uma falha de escalonamento de privilégios identificada como
CVE-2023-28252
.
A operação de ransomware RansomEXX começou como Defray em 2018, mas foi renomeada para RansomEXX e se tornou muito mais ativa a partir de junho de 2020.
Este grupo de ransomware também já teve como alvo organizações de alto perfil, incluindo a gigante de hardware de computador GIGABYTE, Konica Minolta, o Departamento de Transporte do Texas (TxDOT), o sistema judicial do Brasil, o sistema de transporte público STM de Montreal e o fornecedor de software para governos Tyler Technologies.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...