Μια σοβαρή ευπάθεια ασφαλείας στο σύστημα Windows Common Log File System (CLFS), η οποία έχει πλέον διορθωθεί, εκμεταλλεύτηκε ως zero-day σε επιθέσεις ransomware που στόχευαν περιορισμένο αριθμό οργανισμών, σύμφωνα με πρόσφατη αποκάλυψη της Microsoft.
Στοχευμένες Επιθέσεις σε Διάφορους Τομείς
“Οι στόχοι περιλαμβάνουν οργανισμούς στους τομείς της πληροφορικής (IT) και της κτηματαγοράς των Ηνωμένων Πολιτειών, τον χρηματοοικονομικό τομέα στη Βενεζουέλα, μια ισπανική εταιρεία λογισμικού και τον τομέα λιανικής στη Σαουδική Αραβία”, ανέφερε η τεχνολογική εταιρεία.
Η συγκεκριμένη ευπάθεια, γνωστή ως CVE-2025-29824, είναι ένα κενό ασφαλείας στο CLFS που επιτρέπει την κλιμάκωση προνομίων, δίνοντας τη δυνατότητα σε κακόβουλους χρήστες να αποκτήσουν δικαιώματα SYSTEM. Η ευπάθεια επιδιορθώθηκε από τη Microsoft στην ενημέρωση ασφαλείας Patch Tuesday του Απριλίου 2025.
Η Επίθεση Storm-2460 και το Κακόβουλο Λογισμικό PipeMagic
Η Microsoft παρακολουθεί τη δραστηριότητα και την εκμετάλλευση του CVE-2025-29824 υπό την κωδική ονομασία Storm-2460. Οι επιτιθέμενοι χρησιμοποιούν επίσης το κακόβουλο λογισμικό PipeMagic για την παροχή του exploit καθώς και των φορτίων ransomware.
Αν και η ακριβής μέθοδος αρχικής πρόσβασης στα συστήματα δεν είναι προς το παρόν γνωστή, έχει παρατηρηθεί ότι οι επιτιθέμενοι χρησιμοποιούν το εργαλείο certutil για να κατεβάσουν κακόβουλο λογισμικό από έναν νόμιμο ιστότοπο τρίτου μέρους, ο οποίος είχε προηγουμένως παραβιαστεί για τη φιλοξενία των κακόβουλων φορτίων.
Το κακόβουλο λογισμικό είναι ένα αρχείο MSBuild που περιέχει κρυπτογραφημένο φορτίο, το οποίο στη συνέχεια αποσυμπιέζεται για να εκτελέσει το PipeMagic, έναν δούρειο ίππο βασισμένο σε πρόσθετα που έχει εντοπιστεί στην άγρια φύση από το 2022.
Συσχέτιση με Προηγούμενες Επιθέσεις
Αξίζει να σημειωθεί ότι το CVE-2025-29824 είναι η δεύτερη ευπάθεια zero-day των Windows που παραδίδεται μέσω του PipeMagic μετά το CVE-2025-24983, μια ευπάθεια κλιμάκωσης προνομίων στο Windows Win32 Kernel Subsystem, η οποία εντοπίστηκε από την ESET και διορθώθηκε από τη Microsoft τον προηγούμενο μήνα.
Παλαιότερα, το PipeMagic είχε παρατηρηθεί σε σύνδεση με επιθέσεις ransomware Nokoyawa που εκμεταλλεύονταν μια άλλη ευπάθεια zero-day του CLFS (CVE-2023-28252).
“Σε ορισμένες από τις άλλες επιθέσεις που αποδίδουμε στον ίδιο δράστη, παρατηρήσαμε επίσης ότι, πριν από την εκμετάλλευση της ευπάθειας κλιμάκωσης προνομίων CLFS, τα μηχανήματα των θυμάτων μολύνθηκαν με ένα προσαρμοσμένο αρθρωτό backdoor που ονομάζεται ‘PipeMagic’ και εκτελείται μέσω ενός σεναρίου MSBuild”, επισήμανε η Kaspersky τον Απρίλιο του 2023.
Τεχνικές Λεπτομέρειες και Προστασία
Είναι σημαντικό να σημειωθεί ότι τα Windows 11, έκδοση 24H2, δεν επηρεάζονται από αυτή τη συγκεκριμένη εκμετάλλευση, καθώς η πρόσβαση σε ορισμένες κλάσεις πληροφοριών συστήματος εντός του NtQuerySystemInformation περιορίζεται σε χρήστες με SeDebugPrivilege, το οποίο συνήθως μπορούν να αποκτήσουν μόνο χρήστες με δικαιώματα διαχειριστή.
“Το exploit στοχεύει σε μια ευπάθεια στον οδηγό πυρήνα CLFS”, εξήγησε η ομάδα Microsoft Threat Intelligence. “Το exploit στη συνέχεια χρησιμοποιεί μια διαφθορά μνήμης και το API RtlSetAllBits για να αντικαταστήσει το διακριτικό της διαδικασίας με την τιμή 0xFFFFFFFF, ενεργοποιώντας όλα τα προνόμια για τη διαδικασία, γεγονός που επιτρέπει την έγχυση διαδικασίας σε διαδικασίες SYSTEM.”
Μέθοδοι Μετά την Επιτυχή Εκμετάλλευση
Μετά την επιτυχή εκμετάλλευση, ο επιτιθέμενος εξάγει διαπιστευτήρια χρηστών αποθηκεύοντας τη μνήμη του LSASS και κρυπτογραφώντας αρχεία στο σύστημα με τυχαία επέκταση.
Η Microsoft ανέφερε ότι δεν μπόρεσε να αποκτήσει δείγμα ransomware για ανάλυση, αλλά δήλωσε ότι η σημείωση λύτρων που εμφανίστηκε μετά την κρυπτογράφηση περιελάμβανε έναν τομέα TOR που συνδέεται με την οικογένεια ransomware RansomEXX.
“Οι δράστες ransomware εκτιμούν τα exploits κλιμάκωσης προνομίων μετά την παραβίαση επειδή αυτά θα μπορούσαν να τους επιτρέψουν να κλιμακώσουν την αρχική πρόσβαση, συμπεριλαμβανομένων των παραδόσεων από διανομείς κοινών κακόβουλων λογισμικών, σε προνομιακή πρόσβαση”, ανέφερε η Microsoft. “Στη συνέχεια, χρησιμοποιούν την προνομιακή πρόσβαση για ευρεία ανάπτυξη και πυροδότηση ransomware εντός ενός περιβάλλοντος.”
Συμπέρασμα
Οι οργανισμοί καλούνται να εφαρμόσουν άμεσα τις διαθέσιμες ενημερώσεις ασφαλείας και να παραμείνουν σε επαγρύπνηση για ύποπτες δραστηριότητες στα συστήματά τους. Η συγκεκριμένη περίπτωση αναδεικνύει τη συνεχή εξέλιξη των τακτικών των επιτιθέμενων και την ανάγκη για διαρκή επαγρύπνηση στον κυβερνοχώρο.
