Корпорация Microsoft предупредила о серии кибератак, проводимых группировкой RansomEXX с использованием критической уязвимости в подсистеме CLFS (Common Log File System) Windows. Этот эксплойт, обозначенный как CVE-2025-29824, позволяет злоумышленникам с минимальными правами эскалировать привилегии до уровня SYSTEM, полностью захватывая контроль над устройством.
Уязвимость, связанная с ошибкой use-after-free, была частично устранена в рамках апрельского обновления безопасности. Однако патчи для 64- и 32-битных версий Windows 10 пока не выпущены — их релиз запланирован на более поздний срок.
География атак и потенциальные жертвы
По данным Microsoft, под удар попали:
- Технологические и риелторские компании в США
- Финансовые организации Венесуэлы
- Разработчик ПО из Испании
- Крупные торговые сети Саудовской Аравии
Примечательно, что Windows 11 (сборка 24H2) остаётся неуязвимой к данной атаке, несмотря на наличие дефекта в системе. Специалисты настоятельно рекомендуют немедленно установить все доступные обновления безопасности.
Тактика RansomEXX (также известной как Storm-2460)
Злоумышленники используют многоэтапную атаку:
- Внедрение бэкдора PipeMagic для первичного доступа
- Эксплуатация CVE-2025-29824 для получения системных привилеги
- Развёртывание ransomware и оставление файла с требованиями выкупа (!READ_ME_REXX2!.txt)
PipeMagic — многофункциональный инструмент хакеров
Обнаруженный ещё в 2022 году, этот бэкдор способен:
- Красть конфиденциальные данные
- Обеспечивать полный удалённый контроль
- Распространять вредоносное ПО внутри корпоративной сети
В 2023 году эксперты Kaspersky Lab зафиксировали использование PipeMagic в связке с ransomware Nokoyawa. Тогда киберпреступники применяли другую уязвимость нулевого дня в CLFS — CVE-2023-28252, также предназначенную для эскалации привилегий.
Microsoft призывает организации усилить мониторинг активности в корпоративных сетях и незамедлительно применять все выпущенные обновления безопасности.
Мы разрабатываем, внедряем и администрируем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Мы призываем к сотрудничеству компании, которые хотят сохранить безопасность баз данных, бизнес-процессов и другой важной информации.
Оставьте свой контакт на нашей главной странице и мы поможем вам с любым вопросом! Или позвоните сами :)
+7 (343) 222-13-32 — Екатеринбург
+7 978 214 29 87 — Севастополь
+7 978 214 29 87 — Севастополь