Хакеры используют уязвимость нулевого дня в системе файлов Common Log для внедрения вымогательского ПО

Microsoft сообщил о наблюдении за группой злоумышленников, известной как Storm-2460, которая использует уязвимость "использование после освобождения" в драйвере Windows Common Log File System (CLFS). Эта уязвимость используется для развертывания вредоносного ПО PipeMagic, которое затем используется для доставки вымогательского ПО. Пользователям рекомендуется немедленно установить выпущенный патч.

Киберпреступники злоупотребляют уязвимостью нулевого дня в Windows Common Log File System (CLFS) после проникновения для развертывания вымогательного ПО. На этой неделе MSTIC и MSRC опубликовали новый подробный отчет, описывающий, как уязвимость, отслеживаемая как CVE-2025-29824, используется в кибератаках. Ошибка описана как уязвимость "использование после освобождения" в драйвере Windows Common Log File System, которая позволяет злоумышленникам повысить привилегии локально. Ей был присвоен показатель серьезности 7,8/10 (высокий).

Важно отметить, что это уязвимость после проникновения, то есть злоумышленники уже проникли в эти системы, прежде чем смогли использовать ошибку. Microsoft утверждает: "Группы, занимающиеся вымогательством, ценят повышение привилегий после проникновения, так как они могут позволить им эскалировать начальный доступ, включая передачу от распространителей вредоносного ПО общего назначения, в привилегированный доступ". Затем они используют привилегированный доступ для широкомасштабного развертывания и активации вымогательного ПО в среде.

По крайней мере, одна группа злоупотребляет этой ошибкой прямо сейчас. Она отслеживается как Storm-2460 и, по-видимому, использует ее для развертывания вредоносного ПО PipeMagic. PipeMagic - это бэкдор-троян, который позволяет группе в конечном итоге развернуть вымогательное ПО.

Кажется, что на этот раз группа использовала RansomEXX, вариант, который не очень популярен или известен. Storm-2460 удалось использовать ошибку для атаки на "небольшое количество" организаций, сообщила Microsoft. Большинство из них относятся к отраслям информационных технологий, финансов и розничной торговли и расположены в Соединенных Штатах, Венесуэле, Испании и Саудовской Аравии.

8 апреля Microsoft опубликовала бюллетень с описанием уязвимости "использование после освобождения".

"Microsoft настоятельно рекомендует организациям приоритизировать применение обновлений безопасности для уязвимостей повышения привилегий, чтобы добавить уровень защиты от атак вымогателей, если злоумышленники смогут получить первоначальный доступ", - говорится в блоге.