Microsoft a lansat actualizarea lunară „Patch Tuesday” în aprilie 2025, adresând peste 120 de vulnerabilități critice de securitate. Printre acestea se numără amenințări precum escaladarea privilegiilor, execuția de cod la distanță, atacurile de tip Denial of Service (DoS), ocolirea mecanismelor de securitate și vulnerabilitatea zero-day exploatată activ, cunoscută sub id-ul CVE-2025-29824. Aceasta din urmă permite atacatorilor să escaladeze privilegiile în cadrul unui sistem, exploatând driverul Common Log File System (CLFS).
Vulnerabilitatea zero-day CVE-2025-29824 are un scor CVSS de 7.8, ceea ce indică o gravitate ridicată. Exploatarea acesteia poate facilita accesul la nivel de sistem și manipularea acestuia, incluzând execuția de cod arbitrar, modificarea setărilor, instalarea de programe malițioase și accesul la date sensibile.
Microsoft a identificat atacuri legate de gruparea Storm-2460, care au utilizat malware-ul „PipeMagic”. Aceștia au descărcat fișiere malițioase de pe site-uri legitime compromise, exploatând vulnerabilitatea din kernelul driverului CLFS prin procesul dllhost.exe. Tehnicile implică utilizarea funcției NtQuerySystemInformation pentru extragerea adreselor de memorie din kernel, urmată de modificări ale token-ului de securitate al procesului prin funcția RtlSetAllBits. În timpul exploatării, se generează un fișier dăunător, localizat la calea „C:\ProgramData\SkyPDF\PDUDrv.blf”.
Printre indicatorii de compromitere se numără fișierele și comenzile utilizate de atacatori, cum ar fi „dllhost.exe” și diverse comenzi pentru ștergerea backup-urilor și logurilor de evenimente din Windows. De asemenea, malware-ul „PipeMagic” utilizează domeniul „eastus.cloudapp.azure[.]com” pentru comunicarea cu serverele de comandă și control.
Pentru prevenirea exploatării, Microsoft recomandă aplicarea urgentă a patch-ului din aprilie 2025. Alte măsuri includ activarea protecției cloud în Microsoft Defender Antivirus, utilizarea funcțiilor de tip Endpoint Detection and Response (EDR) și implementarea regulilor Attack Surface Reduction (ASR) pentru a bloca tehnicile utilizate frecvent în atacurile de tip ransomware. De asemenea, utilizarea Microsoft Defender Vulnerability Management poate ajuta la identificarea și remedierea vulnerabilităților sistemului.
Actualizarea de securitate este crucială pentru protejarea împotriva vulnerabilității CVE-2025-29824 și pentru reducerea riscurilor asociate atacurilor sofisticate, cum sunt cele lansate de gruparea Storm-2460. Implementarea promptă a recomandărilor poate minimiza expunerea și proteja sistemele împotriva compromisului.
( Sursa: https://dnsc.ro/citeste/alerta-cve-2025-29824-vulnerabilitate-critica-de-securitate-cibernetica-identificata-la-nivelul-microsoft-windows )
