Microsoft ha confirmado la explotación zero-day de la vulnerabilidad CVE-2025-29824, un fallo de elevación de privilegios (EoP) en el Common Log File System (CLFS) de Windows, que permitía a atacantes obtener privilegios de SYSTEM mediante técnicas de corrupción de memoria. Este defecto, corregido en el parche de seguridad de abril de 2025, fue empleado en campañas de ransomware dirigidas a entidades en sectores estratégicos, incluidas organizaciones de TI en EE.UU., el sector financiero en Venezuela y empresas en Arabia Saudí.
El vector de ataque aprovecha una manipulación maliciosa del controlador de kernel CLFS.sys, donde se induce una corrupción de memoria para sobrescribir el token del proceso mediante la API RtlSetAllBits, asignando el valor 0xFFFFFFFF. Esto habilita todos los privilegios del sistema (incluyendo SeDebugPrivilege), permitiendo la inyección de código en procesos con integridad SYSTEM. Posteriormente, los atacantes ejecutan técnicas de credential harvesting mediante el volcado de memoria del proceso LSASS y despliegan ransomware con cifrado de archivos mediante extensiones aleatorias.
Como parte del exploit, el proceso dllhost.exe crea un archivo CLFS BLF con la siguiente ruta: C:\ProgramData\SkyPDF\PDUDrv.blf. Una vez que la explotación es exitosa, se inyecta una carga útil en winlogon.exe. Esta carga útil inyecta la herramienta procdump.exe de Sysinternals en otro dllhost.exe y lo ejecuta con la siguiente línea de comandos:
C:\Windows\system32\dllhost.exe -accepteula -r -ma lsass.exe c:\programdata\[random letters].
Con esto, el atacante pudo volcar la memoria de LSASS y analizarla para obtener las credenciales del usuario.
La actividad, monitorizada bajo el identificador Storm-2460, emplea el malware PipeMagic, un troyano modular basado en plugins operativo desde el año 2022. Su distribución se realiza mediante archivos MSBuild maliciosos que contienen cargas útiles cifradas, recuperadas mediante el abuso de certutil.exe desde dominios legítimos comprometidos. Este método evita detecciones al utilizar herramientas nativas de Windows para operaciones de exfiltración.
PipeMagic ha sido vinculado previamente a explotaciones zero-day como:
- CVE-2025-24983(CVSS:3.x: 7.0): Vulnerabilidad en el subsistema kernel Win32, parcheada en marzo de 2025.
- CVE-2023-28252 (CVSS:3.x: 7.8): Vulnerabilidad de elevación de privilegios de Windows Common Log File System Driver, explotado por el ransomware Nokoyawa en 2023.
La versión Windows 11 24H2 no es vulnerable debido a la restricción de acceso a NtQuerySystemInformation, limitando la obtención de metadatos críticos a cuentas con SeDebugPrivilege. Microsoft enfatiza que la explotación de vulnerabilidades EoP es crítica para actores de ransomware, ya que facilita la propagación lateral y la ejecución de cargas a nivel de red.
Recomendaciones:
- Aplicar parches de abril de 2025 para sistemas CLFS.
- Monitorizar el uso anómalo de certutil.exe y MSBuild.
- Restringir privilegios de depuración y auditoría de acceso a LSASS.
Microsoft subraya la sofisticación de Storm-2460, resaltando la necesidad de enfoques proactivos en la gestión de vulnerabilidades críticas del kernel.
Fuentes:
- PipeMagic trojan exploits Windows Zero-Day vulnerability to deploy ransomware https://thehackernews.com/2025/04/pipemagic-trojan-exploits-windows-clfs.html
- Exploitation of CLFS Zero-Day leads to ransomware activity https://www.microsoft.com/en-us/security/blog/2025/04/08/exploitation-of-clfs-zero-day-leads-to-ransomware-activity/
- Microsoft: Zero-Day bug used in ransomware attacks on US real estate firms https://therecord.media/microsoft-zero-day-used-ransomware-attack-real-estate
- CVE-2025-29824 vulnerability: exploitation of a Windows CLFS Zero-Day could trigger ransomware attacks https://socprime.com/blog/cve-2025-29824-clfs-zero-day-vulnerability/
- Microsoft patches Zero-Day activity exploited in string of ransomware attacks https://cyberscoop.com/microsoft-patch-tuesday-april-2025/
Deja una respuesta