Pachetul de actualizări abordează o varietate extinsă de amenințări, printre care se numără escaladarea privilegiilor, execuția de cod la distanță, atacurile de tip Denial of Service (DoS), ocolirea mecanismelor de securitate, precum și o vulnerabilitate zero-day exploatată activ, identificată cu id-ul CVE-2025-29824.

CVE-2025-29824 este o vulnerabilitate zero-day despre care Microsoft a confirmat că era exploatată activ înainte de lansarea patch-ului.

Această vulnerabilitate de tip escaladare a privilegiilor permite unui atacator care are deja acces la un sistem să își extindă permisiunile dincolo de cele acordate inițial. În acest caz, defecțiunea se află în driverul Common Log File System (CLFS).

Dacă este exploatată cu succes, un atacator ar putea obține privilegii de sistem, permițându-i astfel să execute cod arbitrar, să instaleze programe malițioase, să modifice setările sistemului sau să acceseze date sensibile.

DETALII TEHNICE

Metodele inițiale de acces care au permis compromiterea dispozitivelor nu au fost încă identificate, dar Microsoft a observat mai multe comportamente specifice grupării Storm-2460. Atacatorii au descărcat fișiere dăunătoare de pe site-uri legitime compromise și au utilizat un malware cunoscut sub numele “PipeMagic”.

După livrarea malware-ului, atacatorii au declanșat exploatarea vulnerabilității din driverul kernel CLFS, rulând codul rău intenționat din procesul dllhost.exe.

Vectorul de atac utilizează inițial funcția NtQuerySystemInformation pentru a extrage adrese de memorie din kernel, însă pe Windows 11 versiunea 24H2 accesul este restricționat la utilizatori cu privilegii administrative, ceea ce împiedică funcționarea.

Ulterior, printr-o corupere de memorie și apelarea funcției RtlSetAllBits, token-ul de securitate al procesului este modificat pentru a activa toate privilegiile, permițând injectarea în procese de sistem. În timpul exploatării, este generat un fișier dăunător cu extensia .blf, localizat în partiția C:, calea C:ProgramDataSkyPDFPDUDrv.blf".

RECOMANDĂRI GENERALE

Actualizarea sistemelor cu patch-ul de securitate din 8 aprilie 2025 care remediază CVE-2025-29824.Activarea protecției cloud în Microsoft Defender Antivirus (sau un produs echivalent) pentru a detecta rapid amenințările.Implementarea mecanismelor de tip device discovery pentru a detecta echipamente și sisteme neînregistrate sau neadministrate în rețea și pentru a le include în procesele de monitorizare și protecție.Activarea Endpoint Detection and Response (EDR) în modul de blocare, astfel încât Microsoft Defender for Endpoint să poată bloca artefactele dăunătoare, chiar dacă în același timp rulează alt utilitar antivirus care nu le detectează.Activarea Automated Investigation and Remediation (AIR) din portalul Microsoft 365 Defender, în secțiunea Settings / Endpoints / Advanced features, pentru a permite un răspuns imediat la alerte și pentru a reduce volumul de incidente care necesită intervenție manuală.Utilizarea Microsoft Defender Vulnerability Management pentru a evalua starea actuală și a implementa actualizările lipsă.Activarea regulilor Attack Surface Reduction (ASR) din portalul Microsoft 365 Defender, accesând Settings / Endpoints / Attack surface reduction, pentru a bloca tehnici frecvent utilizate în atacurile de tip ransomware.

CONCLUZII

Actualizarea de securitate lansată de Microsoft abordează și o vulnerabilitate zero-day critică (CVE-2025-29824) exploatată activ în mediul real, ce permite escaladarea privilegiilor prin intermediul driverului CLFS. Exploatarea acestei vulnerabilități oferă atacatorilor posibilitatea de a obține acces la nivel de sistem, facilitând injectarea de malware, exfiltrarea datelor și lansarea de atacuri de tip ransomware. Aplicarea promptă a patch-ului, activarea funcțiilor de remediere automată și implementarea măsurilor avansate de protecție precum ASR sunt esențiale pentru prevenirea compromiterii sistemelor și reducerea suprafeței de atac în fața unor amenințări sofisticate precum cele asociate grupării Storm-2460.

  Fiți la curent cu ultimele noutăți. Urmăriți DCBusiness și pe Google News

Ţi s-a părut interesant acest articol?

Urmărește pagina de Facebook DCBusiness pentru a fi la curent cu cele mai importante ştiri despre evoluţia economiei, modificările fiscale, deciziile privind salariile şi pensiile, precum şi alte analize şi informaţii atât de pe plan intern cât şi extern.