O vulnerabilitate zero-day în Windows Common Log File System (CLFS) a fost folosită în atacuri ransomware cu RansomEXX pentru escaladarea privilegiilor în rețelele unui număr limitat de organizații din sectoarele IT, imobiliare, financiar și retail.
Problema de securitate este identificată ca [CVE-2025-29824] și a fost folosită de către un atacator local pentru a-și crește privilegiile la nivel de SYSTEM fără să fie nevoie de niciun fel de interacțiune.
Microsoft a reparat vulnerabilitatea săptămâna aceasta prin actualizările de securitate lunare cunoscute sub numele de Patch Tuesday (pentru că sunt livrate în a doua zi de marți din fiecare lună).
Exploatarea vulnerabilității din CLFS a fost descoperită de experții din diviziile Microsoft de colectare de informații și răspuns la amenințări (MSTIC – Microsoft Threat Intelligence Center și MSRC – Microsoft Security Response Center).
Experții au atribuit atacurile grupării ransomware RansomEXX, care este urmărită intern cu numele Storm-2460.
Nu se știe cum hackerii au obținut acces inițial pe sistemele vizate, dar Microsoft spune că au folosit backdoor-ul PipeMagic pentru a lansa exploit-ul CLFS în memorie dintr-un proces dllhost.exe.
După obținerea privilegiilor necesare, atacatorul a lansat malware-ul pentru criptarea fișierelor companiei victimă, extensiile fiind aleatorii. Hackerii lasă o notă de răscumpărare cu numele !_READ_ME_REXX2_!.txt.
Microsoft recomandă utilizatorilor să aplice cât mai curând posibil actualizările de securitate pentru CVE-2025-29824. Sistemele care rulează Windows 11 versiunea 24H2 nu sunt afectate de exploatarea observată.
Backdoor-ul PipeMagic a fost folosit și în lansarea exploit-ului pentru CVE-2025-24983, o vulnerabilitate descoperită anul acesta dar utilizată ca zero-day în atacuri începând cu martie 2023.
Microsoft oferă o serie de recomandări pentru a ajuta administratorii de rețele să reducă riscul unui atac ransomware, câteva dintre ele referindu-se la limitarea rulării de servicii și activități programate cu privilegii mai mari decât cele necesare.
Configurările vechi, care în general nu se actualizează de teama că aplicațiile nu vor mai funcționa, deseori expun credențiale cu permisiuni largi în secțiunea LSA Secrets din registri, accesibilă utilizatorilor cu privilegii de administrator.
Microsoft avertizează că în organizațiile în care drepturile de administrator local nu au fost eliminate de la utilizatorii finali, atacatorii au doar un pas până la obținerea accesului ca administrator al domeniului pornind de la un atac inițial cu un troian bancar.
