Redazione RHC : 9 Aprile 2025 07:35
Microsoft Threat Intelligence ha rivelato lo sfruttamento attivo di una vulnerabilità zero-day nel Common Log File System (CLFS) di Windows, identificata come CVE-2025-29824. L’exploit, utilizzato in modo diffuso, ha permesso agli aggressori di aumentare i privilegi sui computer compromessi e di diffondere payload ransomware.
L’attività di sfruttamento è stata attribuita a Storm-2460, un gruppo di autori di minacce motivati da interessi finanziari, collegato anche alle operazioni del backdoor PipeMagic e del ransomware RansomEXX.
Gli attacchi hanno preso di mira un numero limitato di organizzazioni operanti in vari settori, tra cui:
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La vulnerabilità, identificata come CVE-2025-29824, è localizzata nel driver del kernel Common Log File System (CLFS). Lo sfruttamento di questa falla zero-day consente a un aggressore con un account utente standard di aumentare i propri privilegi. Microsoft ha rilasciato aggiornamenti di sicurezza l’8 aprile 2025 per risolvere questa vulnerabilità.
L’indagine di Microsoft ha rivelato che l’exploit zero-day CLFS è stato distribuito dal malware PipeMagic. L’attività di sfruttamento è attribuita a Storm-2460, un autore di minacce noto anche per utilizzare PipeMagic per diffondere ransomware.
Il report di Microsoft sottolinea il valore degli exploit di elevazione dei privilegi per gli autori di ransomware, affermando : ” Gli autori di minacce ransomware apprezzano gli exploit di elevazione dei privilegi post-compromissione perché questi potrebbero consentire loro di intensificare l’accesso iniziale“. Questo accesso consente agli aggressori di ottenere “una distribuzione del ransomware all’interno di un ambiente di produzione”.
Dopo aver sfruttato la vulnerabilità con successo, gli aggressori iniettano un payload in winlogon.exe. Questo payload, a sua volta, ha iniettato lo strumento procdump.exe di Sysinternals per svuotare la memoria del processo LSASS e ottenere le credenziali dell’utente.
Il rapporto afferma che ” Microsoft ha osservato attività ransomware sui sistemi presi di mira. I file sono stati crittografati e gli è stata aggiunta un’estensione casuale, ed è stata rilasciata una richiesta di riscatto con il nome !READ_ME_REXX2!.txt “.
Microsoft consiglia vivamente alle organizzazioni di “dare priorità all’applicazione degli aggiornamenti di sicurezza per le vulnerabilità di elevazione dei privilegi, per aggiungere un livello di difesa contro gli attacchi ransomware nel caso in cui gli autori della minaccia riescano a mettere piede per la prima volta nelle loro infrastrutture”.
In particolare, si invitano i clienti ad applicare gli aggiornamenti di sicurezza rilasciati l’8 aprile 2025 per risolvere la vulnerabilità CVE-2025-29824 il prima possibile. In particolare, “I clienti che utilizzano Windows 11, versione 24H2, non sono interessati dallo sfruttamento osservato, anche se la vulnerabilità fosse presente “.
Redazione“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...
Immagina di aprire, come ogni sera, il bookmark del tuo forum preferito per scovare nuove varianti di stealer o l’ennesimo pacchetto di credenziali fresche di breach. Invece della solita bachec...
Il 22 luglio 2025, Mozilla ha rilasciato Firefox 141, un aggiornamento volto a migliorare la sicurezza del browser. Nell’ambito del Bollettino MFSA 2025-56, sono state risolte 18 vulnerabilit&#...
