警惕|Play Ransomware 利用 Windows CVE-2025-29824实施勒索攻击

原创 ralap 网络个人修炼 2025-05-08 01:53

近期，与 
Play 勒索软件
（也称为

Play Ransomware）相关的威胁行为者被发现利用 Microsoft Windows 系统中的 
CVE-2025-29824
 漏洞，对美国多个未公开名称的组织发起针对性攻击。

此次攻击中，攻击者使用了名为

Grixba
 的定制化信息窃取工具（此前已归因于 Play 勒索组织），并结合该零日漏洞进行入侵。恶意文件被巧妙伪装成 Palo Alto Networks 的合法程序组件，如 paloaltoconfig.exe 和 paloaltoconfig.dll，并被投放至系统的 Music 文件夹中，以逃避检测。

漏洞原理

Microsoft Windows 通用日志文件系统 （CLFS） 驱动程序包含一个释放后使用漏洞。CLFS 驱动作为 Windows 系统的关键组件，负责维护事务日志以确保数据可靠性。攻击者通过构造恶意日志文件，可触发内存管理异常，从而在系统内核中执行任意代码。

漏洞危害

这一漏洞允许本地攻击者通过权限提升手段，将普通用户权限直接跃升至系统级别，相当于将整个计算机的控制权拱手让人。

影响范围

受 CVE-2025-29824 漏洞影响的系统包括：

Windows 10

Windows 11

Windows Server 2008

Windows Server 2012

Windows Server 2016

Windows Server 2019

Windows Server 2022

Windows Server 2025

修复情况

在 4 月8日中，微软发布了相关漏洞补丁，并修复 CVE – 2025 – 29824 漏洞。尽管漏洞已修复，但用户仍需保持警惕，及时安装补丁，以防止类似攻击事件的发生。

参考链接

[1]https://thehackernews.com/2025/05/play-ransomware-exploited-windows-cve.html

[2]https://www.cve.org/CVERecord?id=CVE-2025-29824

[3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29824

-End-

如果觉得我的分享有用

[点赞+分享+关注]