Уязвимость CVE-2025-29824 обнаружена в подсистеме Windows Common Log File System и позволяет злоумышленникам повышать привилегии до уровня SYSTEM. Исправление ошибки представлено в обновлении Microsoft Patch Tuesday апреля 2025 года.
Злоумышленники используют ошибки переполнения памяти и API RtlSetAllBits, что приводит к перезаписи токена процесса значением 0xFFFFFFFF и предоставляет полный доступ к системным процессам, позволяя внедрять код в процессы SYSTEM.
Троян PipeMagic, действующий с 2022 года, использует модульную плагиновую архитектуру для доставки как эксплойта, так и шифрованной полезной нагрузки, распаковываемой посредством файла MSBuild, что активирует вредоносное ПО.
Эксплуатация уязвимости направлена не только на внедрение программ-вымогателей, но и на получение привилегированного доступа после компрометации, что позволяет злоумышленникам переходить от обычного заражения к глубокому контролю над системой.
Microsoft отслеживает инциденты, связанные с эксплойтом под кодовым именем Storm-2460, при этом злоумышленники задействуют утилиту certutil для загрузки вредоносных файлов с компрометированных легитимных сторонних сайтов.
Атаки нацелены на разнообразные секторы, включая информационные технологии, недвижимость, финансы, программное обеспечение и ритейл. Примеры заражений зарегистрированы в США (сферы IT и недвижимости), Венесуэле (финансовый сектор), Испании (атакована испанская софтверная компания) и Саудовской Аравии (ритейл).
Ранее аналогичные методы применялись через уязвимость CVE-2025-24983 в подсистеме Windows Win32 Kernel, о которой сообщал ESET, а также в рамках атак Nokoyawa ransomware, использовавших CLFS-уязвимость CVE-2023-28252. В апреле 2023 года Kaspersky фиксировал случаи применения портативного модульного бэкдора «PipeMagic» с MSBuild-скриптами.
Пользователи Windows 11 (версия 24H2) остаются вне зоны риска, так как доступ к определенным классам системной информации с помощью NtQuerySystemInformation ограничен пользователями, обладающими SeDebugPrivilege. Рансон нота, выявленная после шифрования данных, включает домен в сети TOR, связанный с семейством RansomEXX, что указывает на сложность и масштаб угрозы.
Изображение носит иллюстративный характер
Злоумышленники используют ошибки переполнения памяти и API RtlSetAllBits, что приводит к перезаписи токена процесса значением 0xFFFFFFFF и предоставляет полный доступ к системным процессам, позволяя внедрять код в процессы SYSTEM.
Троян PipeMagic, действующий с 2022 года, использует модульную плагиновую архитектуру для доставки как эксплойта, так и шифрованной полезной нагрузки, распаковываемой посредством файла MSBuild, что активирует вредоносное ПО.
Эксплуатация уязвимости направлена не только на внедрение программ-вымогателей, но и на получение привилегированного доступа после компрометации, что позволяет злоумышленникам переходить от обычного заражения к глубокому контролю над системой.
Microsoft отслеживает инциденты, связанные с эксплойтом под кодовым именем Storm-2460, при этом злоумышленники задействуют утилиту certutil для загрузки вредоносных файлов с компрометированных легитимных сторонних сайтов.
Атаки нацелены на разнообразные секторы, включая информационные технологии, недвижимость, финансы, программное обеспечение и ритейл. Примеры заражений зарегистрированы в США (сферы IT и недвижимости), Венесуэле (финансовый сектор), Испании (атакована испанская софтверная компания) и Саудовской Аравии (ритейл).
Ранее аналогичные методы применялись через уязвимость CVE-2025-24983 в подсистеме Windows Win32 Kernel, о которой сообщал ESET, а также в рамках атак Nokoyawa ransomware, использовавших CLFS-уязвимость CVE-2023-28252. В апреле 2023 года Kaspersky фиксировал случаи применения портативного модульного бэкдора «PipeMagic» с MSBuild-скриптами.
Пользователи Windows 11 (версия 24H2) остаются вне зоны риска, так как доступ к определенным классам системной информации с помощью NtQuerySystemInformation ограничен пользователями, обладающими SeDebugPrivilege. Рансон нота, выявленная после шифрования данных, включает домен в сети TOR, связанный с семейством RansomEXX, что указывает на сложность и масштаб угрозы.
