Microsoft ha revelado que una descompostura de seguridad ahora parada que afecta el sistema de archivos de registro popular de Windows (CLFS) fue explotado como un día cero en ataques de ransomware dirigidos a un pequeño número de objetivos.
«Los objetivos incluyen organizaciones en la tecnología de la información (TI) y los sectores inmobiliarios de los Estados Unidos, el sector financiero en Venezuela, una compañía de software española y el sector minorista en Arabia Saudita», dijo el gigantesco tecnológico.
La vulnerabilidad en cuestión es CVE-2025-29824, un error de ascenso de privilegios en CLF que podría explotarse para ganar los privilegios del sistema. Fue arreglado por Redmond como parte de su puesta al día del martes de parche para abril de 2025.
Microsoft está rastreando la actividad y la explotación posterior a la compromiso de CVE-2025-29824 bajo el apodo de tormenta-2460, con los actores de amenaza que todavía aprovechan un malware llamado Pipemagic para entregar la exploit y las cargas avíos de ransomware.
El vector de llegada original exacto utilizado en los ataques no se conoce actualmente. Sin incautación, los actores de amenaza se han observado utilizando la utilidad de certutil para descargar malware de un sitio lícito de terceros que anteriormente estaba comprometido para organizar las cargas avíos.
El malware es un archivo MSBuild sagaz que contiene una carga útil cifrada, que luego se desempaqueta para difundir Pipemagic, un troyano basado en complementos que se ha detectado en la naturaleza desde 2022.
Vale la pena mencionar aquí que CVE-2025-29824 es el segundo defecto de día cero de Windows que se entregará a través de Pipemagic luego de CVE-2025-24983, un error de ascenso de privilegio del subsistema de kernel Windows Win32, que fue afectado por Eset y parcheado por Microsoft el mes pasado.
Anteriormente, Pipemagic todavía se observó en relación con los ataques de ransomware Nokoyawa que explotaron otro defecto de día cero de CLFS (CVE-2023-28252).
«En algunos de los otros ataques que atribuimos al mismo actor, todavía observamos que, ayer de explotar la vulnerabilidad de la elevación de privilegio de CLFS, las máquinas de la víctima se infectaron con una puerta trasera modular indicación ‘Pipemagic’ que se garrocha a través de un estandarte de MSBuild», señaló Kaspersky en abril de 2023.
Es crucial tener en cuenta que Windows 11, traducción 24H2, no se ve afectado por esta explotación específica, ya que el llegada a ciertas clases de información del sistema internamente de NtquerySystemInformation está restringido a los usuarios con SedebugPrivilege, que generalmente solo los usuarios de administrador pueden obtener.
«El exploit se dirige a una vulnerabilidad en el regulador del núcleo CLFS», explicó el equipo de inteligencia de amenazas de Microsoft. «El exploit utiliza una corrupción de memoria y la API RTLSetAllBits para sobrescribir el token del proceso de exploit con el valía 0xffffffffff, permitiendo todos los privilegios para el proceso, lo que permite la inyección del proceso en procesos del sistema».
La explotación exitosa es seguida por el actor de amenaza que extrae las credenciales de los usuarios al descargar la memoria de LSASS y encriptar archivos en el sistema con una extensión aleatoria.
Microsoft dijo que no pudo obtener una muestra de ransomware para el observación, pero dijo que la nota de rescate disminuyó luego del enigmático incluía un dominio TOR vinculado a la tribu de ransomware RansomExx.
«Los actores de amenaza de ransomware valoran la elevación de los exploits de la elevación de privilegios porque estos podrían permitirles esquilar el llegada original, incluidas las transferencias de distribuidores de malware de productos básicos, al llegada privilegiado», dijo Microsoft. «Luego usan llegada privilegiado para la implementación generalizada y la detonación de ransomware internamente de un entorno».
