Windows 通用日志文件系统(CLFS)中一个严重的零日漏洞被发现,一个勒索软件组织正在积极利用该漏洞进行攻击。
此漏洞编号为 CVE-2025-29824,是一个提权漏洞。多个国家多个行业的部分组织遭到了针对该漏洞的攻击,这促使 Microsoft 于 2025 年 4 月 8 日紧急发布了安全更新。
该漏洞存在于 CLFS 内核驱动程序中,拥有标准用户权限的攻击者可利用此漏洞将其访问权限提升至系统级控制权。
Microsoft 已将该漏洞的利用与 PipeMagic 恶意软件关联起来,该恶意软件由名为 Storm-2460 的威胁行为者所部署。该组织利用此漏洞实施勒索软件攻击,目标涵盖美国的信息技术和房地产行业、委内瑞拉的金融行业、西班牙的软件行业以及沙特阿拉伯的零售行业。
漏洞利用详情
Microsoft 调查发现,Storm-2460 在利用该漏洞之前采用了复杂的技术手段。在多起案例中,攻击者使用 Windows certutil 工具从受感染的第三方网站下载了一个恶意的 MSBuild 文件。
该文件经 EnumCalendarInfoA API 回调解密并执行后,便释放出 PipeMagic 恶意软件。值得注意的是,卡巴斯基曾在 2024 年 10 月记录过 PipeMagic,而 ESET 在 2023 年也曾将其与另一个零日漏洞利用关联起来。
PipeMagic 部署完成后,攻击者通过 dllhost.exe 进程在内存中执行 CLFS 漏洞利用程序。该程序利用内存损坏技术,借助 RtlSetAllBits API 覆盖进程令牌,从而获得完全权限。
有趣的是,该利用程序依赖 NtQuerySystemInformation API 来泄露内核地址,不过在 Windows 11 24H2 版本中,由于对某些系统信息类别的访问仅限于具有提升权限的用户,这种方法便失效了。
作为攻击的一部分,会创建一个 CLFS BLF 文件(C:\ProgramData\SkyPDF\PDUDrv.blf),这是该漏洞利用活动的一个明显迹象。
漏洞利用成功后,攻击者会向 winlogon.exe 注入一个有效负载,随后使用 Sysinternals 的 procdump.exe 工具转储 LSASS 进程的内存,以获取用户凭据。
这为勒索软件的部署铺平了道路,被加密的文件会被添加随机扩展名,同时会留下一个名为!READ_ME_REXX2!.txt 的勒索通知。
通知中识别出两个与 RansomEXX 勒索软件家族相关的.onion 域名,这表明可能与这个已知威胁存在关联。
勒索软件通过 dllhost.exe 启动,命令行参数类似 –do [path_to_ransom],同时还会执行一些阻碍恢复工作的命令,包括禁用恢复选项和删除备份。
Microsoft 针对 CVE-2025-29824 发布了补丁,并确认即使存在该漏洞,Windows 11 24H2 系统也不受此次观察到的利用方法的影响。
Microsoft 敦促所有客户立即安装更新,以降低勒索软件攻击的风险。勒索软件往往会利用此类提权漏洞,将初始访问权限升级为破坏性的全网攻击事件。
除了打补丁之外,Microsoft 还建议在 Microsoft Defender 反病毒软件中启用云交付保护,使用设备发现功能识别未管理的系统,并以阻止模式运行端点检测与响应(EDR),以阻止恶意活动。
同时,Microsoft 也鼓励各组织利用 Microsoft Defender for Endpoint 的自动调查功能和攻击面缩减规则来加强防御。
感染指标
| 指标 | 类型 | 描述 |
| C:\ProgramData\SkyPDF\PDUDrv.blf | 路径 | CLFS 漏洞利用时生成 |
| C:\Windows\system32\dllhost.exe –do | 命令行 | 注入的 dllhost 命令 |
| bcdedit /set {default} recoveryenabled no | 命令行 | 勒索软件命令 |
| wbadmin delete catalog -quiet | 命令行 | 勒索软件命令 |
| wevtutil cl Application | 命令行 | 勒索软件命令 |
| aaaaabbbbbbb.eastus.cloudapp.azure[.]com | 域名 | PipeMagic 使用的域名 |
随着像 Storm-2460 这样的勒索软件组织不断利用零日漏洞,此次事件凸显了及时打补丁和采用多层安全措施来防范不断演变的网络威胁的重要性。
发表评论
您还未登录,请先登录。
登录