Un recente attacco informatico ha sfruttato una vulnerabilità zero-day nel sistema Windows CLFS per distribuire ransomware. Microsoft ha confermato che la falla di sicurezza, ora risolta, è stata utilizzata per attaccare un numero ristretto di bersagli, inclusi settori come tecnologia dell'informazione, immobiliare e finanziario in vari paesi. La vulnerabilità, identificata come CVE-2025-29824, era un bug di escalation di privilegi che permetteva agli aggressori di ottenere privilegi di sistema. Microsoft sta monitorando l'attività legata a questa vulnerabilità sotto il nome Storm-2460.

Gli attori della minaccia hanno utilizzato un malware chiamato PipeMagic per distribuire l'exploit e i payload di ransomware. La modalità di accesso iniziale usata dagli aggressori non è ancora chiara, ma si sa che hanno impiegato l'utilità certutil per scaricare malware da un sito legittimo precedentemente compromesso. Questo malware è un file MSBuild malevolo che contiene un payload crittografato, che una volta decompresso lancia PipeMagic, un trojan basato su plugin in circolazione dal 2022.

Questa vulnerabilità è la seconda zero-day di Windows sfruttata tramite PipeMagic, dopo quella identificata come CVE-2025-24983. In precedenza, PipeMagic era stato usato in attacchi con ransomware Nokoyawa che sfruttavano un'altra falla zero-day nel sistema CLFS. Gli attacchi osservati da Kaspersky mostravano che, prima di sfruttare la vulnerabilità per elevare i privilegi, i dispositivi delle vittime erano infettati con un backdoor modulare personalizzato chiamato PipeMagic, lanciato tramite script MSBuild.

È importante sottolineare che Windows 11, versione 24H2, non è vulnerabile a questo tipo di attacco specifico, grazie a restrizioni sugli accessi a certe classi di informazioni di sistema, limitate agli utenti con privilegi amministrativi. L'exploit mira al driver kernel CLFS e utilizza una corruzione della memoria insieme all'API RtlSetAllBits per sovrascrivere il token di processo dell'attaccante, abilitando tutti i privilegi e permettendo l'iniezione di processi nei processi di sistema.

Dopo un attacco riuscito, gli aggressori estraggono le credenziali utente riversando la memoria di LSASS e cifrano i file sul sistema con un'estensione casuale. Anche se Microsoft non ha potuto ottenere un campione del ransomware per ulteriori analisi, il riscatto richiesto includeva un dominio TOR collegato alla famiglia di ransomware RansomEXX.

Gli attori delle minacce valutano molto gli exploit di escalation di privilegi post-compromissione, poiché permettono di aumentare l'accesso iniziale e trasformare l'accesso non autorizzato in accesso privilegiato, consentendo un'ampia distribuzione e detonazione dei ransomware.