Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Fortinet 970x120px
Banner Mobile
Allarme Microsoft: un exploit zero-day di Privilege Escalation sfruttato per rilasciare Ransomware

Allarme Microsoft: un exploit zero-day di Privilege Escalation sfruttato per rilasciare Ransomware

Redazione RHC : 9 Aprile 2025 07:35

Microsoft Threat Intelligence ha rivelato lo sfruttamento attivo di una vulnerabilità zero-day nel Common Log File System (CLFS) di Windows, identificata come CVE-2025-29824. L’exploit, utilizzato in modo diffuso, ha permesso agli aggressori di aumentare i privilegi sui computer compromessi e di diffondere payload ransomware.

L’attività di sfruttamento è stata attribuita a Storm-2460, un gruppo di autori di minacce motivati ​​da interessi finanziari, collegato anche alle operazioni del backdoor PipeMagic e del ransomware RansomEXX.

Gli attacchi hanno preso di mira un numero limitato di organizzazioni operanti in vari settori, tra cui:

  • Tecnologia dell’informazione (IT) e settore immobiliare negli Stati Uniti
  • Il settore finanziario in Venezuela
  • Un’azienda di software in Spagna
  • Il settore della vendita al dettaglio in Arabia Saudita

Enterprise

Prova la Demo di Business Log! Adaptive SOC italiano
Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La vulnerabilità, identificata come CVE-2025-29824, è localizzata nel driver del kernel Common Log File System (CLFS). Lo sfruttamento di questa falla zero-day consente a un aggressore con un account utente standard di aumentare i propri privilegi. Microsoft ha rilasciato aggiornamenti di sicurezza l’8 aprile 2025 per risolvere questa vulnerabilità.

L’indagine di Microsoft ha rivelato che l’exploit zero-day CLFS è stato distribuito dal malware PipeMagic. L’attività di sfruttamento è attribuita a Storm-2460, un autore di minacce noto anche per utilizzare PipeMagic per diffondere ransomware.

Il report di Microsoft sottolinea il valore degli exploit di elevazione dei privilegi per gli autori di ransomwareaffermando : ” Gli autori di minacce ransomware apprezzano gli exploit di elevazione dei privilegi post-compromissione perché questi potrebbero consentire loro di intensificare l’accesso iniziale“. Questo accesso consente agli aggressori di ottenere “una distribuzione del ransomware all’interno di un ambiente di produzione”.

Dopo aver sfruttato la vulnerabilità con successo, gli aggressori iniettano un payload in winlogon.exe. Questo payload, a sua volta, ha iniettato lo strumento procdump.exe di Sysinternals per svuotare la memoria del processo LSASS e ottenere le credenziali dell’utente.

Il rapporto afferma che ” Microsoft ha osservato attività ransomware sui sistemi presi di mira. I file sono stati crittografati e gli è stata aggiunta un’estensione casuale, ed è stata rilasciata una richiesta di riscatto con il nome !READ_ME_REXX2!.txt “.

Microsoft consiglia vivamente alle organizzazioni di “dare priorità all’applicazione degli aggiornamenti di sicurezza per le vulnerabilità di elevazione dei privilegi, per aggiungere un livello di difesa contro gli attacchi ransomware nel caso in cui gli autori della minaccia riescano a mettere piede per la prima volta nelle loro infrastrutture”.

In particolare, si invitano i clienti ad applicare gli aggiornamenti di sicurezza rilasciati l’8 aprile 2025 per risolvere la vulnerabilità CVE-2025-29824 il prima possibile. In particolare, “I clienti che utilizzano Windows 11, versione 24H2, non sono interessati dallo sfruttamento osservato, anche se la vulnerabilità fosse presente “.

Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
Dentro NVIDIA: Jensen Huang guida 36 manager, 36.000 dipendenti e legge 20.000 email al giorno
Di Redazione RHC - 03/11/2025

Il CEO di NVIDIA, Jen-Hsun Huang, oggi supervisiona direttamente 36 collaboratori suddivisi in sette aree chiave: strategia, hardware, software, intelligenza artificiale, pubbliche relazioni, networki...

Immagine del sito
I Bug Hunter resteranno senza lavoro? OpenAI presenta Aardvark, il nuovo “bug fixer”
Di Redazione RHC - 03/11/2025

OpenAI ha presentato Aardvark, un assistente autonomo basato sul modello GPT-5 , progettato per individuare e correggere automaticamente le vulnerabilità nel codice software. Questo strumento di inte...

Immagine del sito
Quando Google indicizza anche l’inganno! Le reti fantasma scoperte da RHC che penalizzano la SERP
Di Redazione RHC - 03/11/2025

Analisi RHC sulla rete “BHS Links” e sulle infrastrutture globali di Black Hat SEO automatizzato Un’analisi interna di Red Hot Cyber sul proprio dominio ha portato alla luce una rete globale di ...

Immagine del sito
Furto al Louvre: la password “LOUVRE” del sistema di sorveglianza ha messo in crisi il museo
Di Redazione RHC - 02/11/2025

Abbiamo recentemente pubblicato un approfondimento sul “furto del secolo” al Louvre, nel quale sottolineavamo come la sicurezza fisica – accessi, controllo ambientale, vigilanza – sia oggi str...

Immagine del sito
Allarme phishing in Lombardia: usano dati sanitari reali per chiedere pagamenti
Di Redazione RHC - 02/11/2025

Una nuova e insidiosa campagna di phishing sta colpendo i cittadini lombardi. I truffatori inviano e-mail che sembrano provenire da una presunta agenzia di recupero crediti, chiedendo il pagamento di ...