利用 CVE-2025-29824 CLFS 零日漏洞可导致勒索软件活动

发布于 作者:

利用 CVE-2025-29824 CLFS 零日漏洞可导致勒索软件活动

原创 0x6270 0x6270安全团队 2025-04-09 21:00

Microsoft 威胁情报中心 (MSTIC) 和 Microsoft 安全响应中心 (MSRC) 发现,在入侵后利用 Windows 通用日志文件系统 (CLFS) 中的零日特权提升漏洞攻击少数目标。目标包括美国信息技术 (IT) 和房地产行业的组织、委内瑞拉的金融部门、西班牙软件公司以及沙特阿拉伯的零售部门。Microsoft 于 2025 年 4 月 8 日发布了安全更新以解决该漏洞,跟踪为 
CVE-2025-29824

除了发现漏洞外,Microsoft 还发现该漏洞已被 PipeMagic 恶意软件部署。Microsoft 将利用活动归因于 Storm-2460,该组织还使用 PipeMagic 部署勒索软件。勒索软件威胁行为者重视入侵后的权限提升漏洞,因为这些漏洞可能使他们能够将初始访问(包括来自商品恶意软件分销商的移交)升级为特权访问。然后,他们使用特权访问在环境中广泛部署和引爆勒索软件。Microsoft 强烈建议组织优先应用安全更新来应对特权提升漏洞,以便在威胁行为者能够获得初步立足点时增加一层防御措施来抵御勒索软件攻击。

博客详细介绍了 Microsoft 对观察到的 CLFS 漏洞和针对客户的相关活动的分析。此信息将与我们的客户和行业合作伙伴共享,以改进对这些攻击的检测,并鼓励根据需要快速修补或其他缓解措施。博客文章末尾提供了更全面的建议部分,其中包含入侵指标和检测详细信息。

CVE 2025-29824:通用日志文件系统 (CLFS) 中的零日漏洞

Microsoft 发现的漏洞利用活动以通用日志文件系统 (CLFS) 内核驱动程序中的零日漏洞为目标。成功利用此漏洞可让以标准用户帐户身份运行的攻击者提升权限。该漏洞被跟踪为 
CVE-2025-29824
,并于 2025 年 4 月 8 日修复。

漏洞利用前活动

虽然 Microsoft 尚未确定导致设备遭到入侵的初始访问向量,但 Storm-2460 存在一些值得注意的利用前行为。在多个案例中,威胁行为者使用 certutil 实用程序从合法的第三方网站下载文件,该网站之前已被入侵以托管威胁行为者的恶意软件。

下载的文件是一个恶意的 MSBuild 文件,
此处
介绍的一种技术,它携带加密的恶意软件负载。一旦通过 
EnumCalendarInfoA
 API 回调解密并执行有效负载,就会发现恶意软件是 
PipeMagic,
卡巴斯基于 2024 年 10 月记录了
该恶意软件。

ESET 的研究人员还观察到
 2023 年将 PipeMagic 与部署分配为 
CVE-2025-24983
 的 Win32k 漏洞的零日漏洞利用有关。PipeMagic 示例使用的域是 
aaaaabbbbbbb.eastus.cloudapp.azure[.]com 的 COM,
现已被 Microsoft 禁用。

CLFS 漏洞利用活动

在 PipeMagic 部署之后,攻击者从 
dllhost.exe
 进程在内存中发起了 CLFS 漏洞利用。

该漏洞利用以 CLFS 内核驱动程序中的漏洞为目标。值得注意的是,该漏洞首先使用 
NtQuerySystemInformation
 API 将内核地址泄漏到用户模式。但是,从 Windows 11 版本 24H2 开始,只有具有 
SeDebugPrivilege
 的用户才能访问 
NtQuerySystemInformation
 中的某些系统信息类,通常只有类似管理员的用户才能获取。这意味着即使存在漏洞,该漏洞也无法在 Windows 11 版本 24H2 上运行。

然后,该漏洞利用内存损坏和 
RtlSetAllBits
 API 用值 0xFFFFFFFF 覆盖漏洞利用进程的令牌,从而启用该进程的所有权限,从而允许将进程注入 SYSTEM 进程。

作为利用过程的一部分,利用程序的 
dllhost.exe
 进程会创建一个路径如下的 CLFS BLF 文件:
C:\ProgramData\SkyPDF\PDUDrv.blf

利用后活动导致勒索软件活动

成功利用后,有效负载将注入 
winlogon.exe。
 然后,此有效负载将 Sysinternals 
procdump.exe
 工具注入到另一个
dllhost.exe
,并使用以下命令行运行它:

完成此作后,执行组件能够转储 LSASS 的内存并对其进行解析以获取用户凭据。

然后,Microsoft 在目标系统上观察到勒索软件活动。文件被加密并添加了随机扩展名,以及一张名为 !
READ_ME_REXX2
! 的赎金票据
。TXT
 已删除。Microsoft 正在跟踪与此勒索软件相关的 Storm-2460 活动。

虽然我们无法获得勒索软件样本进行分析,但我们将包括一些围绕该活动的值得注意的事件,以更好地帮助防御者:
– 在 !
READ_ME_REXX2
! 中发现了两个 .onion 域名
。TXT
 赎金记录

  • uyhi3ypdkfeymyf5v35pbk3pz7st3zamsbjzf47jiqbcm3zmikpwf3qd.onion

  • jbdg4buq6jd7ed3rd6cynqtq5abttuekjnxqrqyvk4xam5i7ld33jvqd.onion
     与 
    RansomEXX 勒索软件家族有关

  • 勒索软件使用命令行从 
    dllhost.exe
     启动:

  • 加密文件的文件扩展名对于每个设备是随机的,但每个文件都是相同的

  • 执行一些使恢复或分析更加困难的典型勒索软件命令,包括:

  • wevtutil cl 应用

  • wbadmin delete catalog -quiet

  • bcdedit /set {default} recoveryenabled 否

  • 在一个观察到的案例中,角色生成了 
    notepad.exe
     作为 SYSTEM

缓解和保护指南

Microsoft 于 2025 年 4 月 8 日发布了安全更新以解决 CVE 2025-29824。运行 Windows 11 版本 24H2 的客户不会受到观察到的漏洞利用的影响,即使存在漏洞也是如此。Microsoft 敦促客户尽快应用这些更新。

Microsoft 建议采取以下缓解措施来减少与 Storm-2460 相关的活动的影响:
– 请参阅博客
勒索软件即服务:了解网络犯罪零工经济
以及如何保护自己,以采取有力措施来抵御勒索软件。

  • 在 Microsoft Defender Antivirus 或防病毒产品的等效功能中启用
    云提供的保护
    ,以涵盖快速发展的攻击者工具和技术。基于云的机器学习保护可阻止大多数新的和未知的变体。

  • 使用
    设备发现
    ,通过在网络上查找未托管的设备并将其载入 Microsoft Defender for Endpoint,提高对网络的可见性。勒索软件攻击者通常会识别非托管系统或遗留系统,并利用这些盲点来发动攻击。

  • 在阻止模式下运行 EDR
    ,以便 Microsoft Defender for Endpoint 可以阻止恶意项目,即使非 Microsoft 防病毒软件未检测到威胁或Microsoft Defender防病毒在被动模式下运行时也是如此。阻止模式下的 EDR 在后台工作,以修复在违规后检测到的恶意工件。

  • 在完全自动化模式下启用
    调查和修正
    ,以允许 Microsoft Defender for Endpoint 立即对警报采取措施以解决违规问题,从而显著减少警报量。使用 
    Microsoft Defender 漏洞管理
    评估您的当前状态并部署可能错过的任何更新。

  • Microsoft 365 Defender 客户可以启用
    攻击面减少规则
    ,以防止勒索软件攻击中使用的常见攻击技术:

  • 使用针对勒索软件的高级保护

搜寻查询

Microsoft Sentinel

Microsoft Sentinel 客户可以使用 TI 映射分析(一系列分析,全部以“TI map”为前缀)自动将本博客文章中提到的恶意域指示器与其工作区中的数据进行匹配。如果当前未部署 TI 地图分析,客户可以从 
Microsoft Sentinel 内容中心
安装威胁情报解决方案,以便在其 Sentinel 工作区中部署分析规则。

搜索暴露了 CVE-2025-29814 的设备

检测利用 CVE 2025-29824 后创建 CLFS BLF 文件

LSSASS 进程转储活动

勒索软件进程活动

PipeMagic 和 RansomEXX fansomware域

感染指标

Indicator Type Description
C:\ProgramData\SkyPDF\PDUDrv.blf Path Dropped during CLFS exploit
C:\Windows\system32\dllhost.exe –do Command line Injected dllhost
bcdedit /set {default} recoveryenabled no Command line Ransomware command
wbadmin delete catalog -quiet Command line Ransomware command
wevtutil cl Application Command line Ransomware command
aaaaabbbbbbb.eastus.cloudapp.azure[.]com Domain Used by PipeMagic

引用

  • https://blog.talosintelligence.com/building-bypass-with-msbuild/

  • https://www.kaspersky.com/about/press-releases/kaspersky-uncovers-pipemagic-backdoor-attacks-businesses-through-fake-chatgpt-application

  • https://x.com/ESETresearch/status/1899508656258875756