微軟披露，一個(gè)現(xiàn)已修復(fù)的影響Windows通用日志文件系統(tǒng)（CLFS）的安全漏洞曾被作為零日漏洞用于針對(duì)少數(shù)目標(biāo)的勒索軟件攻擊中。

攻擊目標(biāo)與漏洞詳情

這家科技巨頭表示："受害者包括美國信息技術(shù)（IT）和房地產(chǎn)行業(yè)組織、委內(nèi)瑞拉金融行業(yè)企業(yè)、一家西班牙軟件公司以及沙特阿拉伯零售行業(yè)機(jī)構(gòu)。"相關(guān)漏洞編號(hào)為CVE-2025-29824，是CLFS中的一個(gè)權(quán)限提升漏洞，攻擊者可利用該漏洞獲取SYSTEM權(quán)限。微軟已在2025年4月的補(bǔ)丁星期二更新中修復(fù)該漏洞。

微軟將CVE-2025-29824漏洞的利用活動(dòng)追蹤命名為Storm-2460，攻擊者還使用名為PipeMagic的惡意軟件來投遞漏洞利用程序及勒索軟件載荷。

攻擊手法分析

目前尚不清楚攻擊者使用的初始入侵途徑。但安全人員觀察到攻擊者使用certutil工具從先前已被入侵的合法第三方網(wǎng)站下載惡意軟件以投放載荷。該惡意軟件是一個(gè)包含加密載荷的惡意MSBuild文件，解密后會(huì)啟動(dòng)PipeMagic——這是一個(gè)基于插件的木馬程序，自2022年起就已在野外被發(fā)現(xiàn)。

值得注意的是，CVE-2025-29824是繼CVE-2025-24983之后第二個(gè)通過PipeMagic傳播的Windows零日漏洞。CVE-2025-24983是Windows Win32內(nèi)核子系統(tǒng)的權(quán)限提升漏洞，上月由ESET報(bào)告并被微軟修復(fù)。此前，PipeMagic還曾與利用另一個(gè)CLFS零日漏洞（CVE-2023-28252）的Nokoyawa勒索軟件攻擊有關(guān)聯(lián)。

卡巴斯基在2023年4月指出："在我們歸因于同一攻擊者的其他攻擊中，還觀察到在利用CLFS權(quán)限提升漏洞前，受害機(jī)器已感染了通過MSBuild腳本啟動(dòng)的定制模塊化后門程序'PipeMagic'。"

技術(shù)細(xì)節(jié)與影響范圍

需要特別注意的是，Windows 11 24H2版本不受此特定漏洞利用影響，因?yàn)樵摪姹鞠拗屏薔tQuerySystemInformation中某些系統(tǒng)信息類的訪問權(quán)限，僅授予具有SeDebugPrivilege的用戶（通常只有管理員級(jí)別用戶才能獲?。?。

微軟威脅情報(bào)團(tuán)隊(duì)解釋稱："該漏洞利用針對(duì)CLFS內(nèi)核驅(qū)動(dòng)程序中的漏洞。攻擊者隨后利用內(nèi)存損壞和RtlSetAllBits API將漏洞利用進(jìn)程的令牌覆蓋為0xFFFFFFFF值，從而為進(jìn)程啟用所有權(quán)限，使其能夠注入SYSTEM進(jìn)程。"

攻擊后續(xù)行為

成功利用漏洞后，攻擊者會(huì)通過轉(zhuǎn)儲(chǔ)LSASS內(nèi)存來提取用戶憑證，并使用隨機(jī)擴(kuò)展名加密系統(tǒng)文件。微軟表示未能獲取勒索軟件樣本進(jìn)行分析，但指出加密后留下的勒索說明中包含與RansomEXX勒索軟件家族相關(guān)的TOR域名。

微軟強(qiáng)調(diào)："勒索軟件攻擊者非常重視入侵后的權(quán)限提升漏洞利用，因?yàn)檫@能幫助他們將初始訪問權(quán)限（包括從普通惡意軟件分銷商處獲得的權(quán)限）提升為特權(quán)訪問。隨后他們會(huì)利用特權(quán)訪問權(quán)限在環(huán)境中廣泛部署和引爆勒索軟件。"