Microsoft telah mengungkapkan bahwa cacat keamanan yang sekarang ditonton yang mempengaruhi sistem file log umum Windows (CLFS) dieksploitasi sebagai nol hari dalam serangan ransomware yang ditujukan untuk sejumlah kecil target.
“Target termasuk organisasi dalam teknologi informasi (TI) dan sektor real estat Amerika Serikat, sektor keuangan di Venezuela, sebuah perusahaan perangkat lunak Spanyol, dan sektor ritel di Arab Saudi,” kata raksasa teknologi itu.
Kerentanan yang dimaksud adalah CVE-2025-29824, bug eskalasi hak istimewa di CLF yang dapat dieksploitasi untuk mencapai hak istimewa sistem. Itu ditetapkan oleh Redmond sebagai bagian dari pembaruan tambalan Selasa untuk April 2025.
Microsoft melacak aktivitas dan eksploitasi pasca-kompromi CVE-2025-29824 di bawah moniker Storm-2460, dengan aktor ancaman juga memanfaatkan malware bernama Pipemagic untuk memberikan eksploitasi serta muatan ransomware.
Vektor akses awal yang tepat yang digunakan dalam serangan saat ini tidak diketahui. Namun, para aktor ancaman telah diamati menggunakan utilitas certutil untuk mengunduh malware dari situs pihak ketiga yang sah yang sebelumnya dikompromikan untuk menggelar muatan.
Malware adalah file MSBuild berbahaya yang berisi muatan terenkripsi, yang kemudian dibongkar untuk meluncurkan Pipemagic, trojan berbasis plugin yang telah terdeteksi di alam liar sejak 2022.
Perlu disebutkan di sini bahwa CVE-2025-29824 adalah cacat Zero-Day kedua yang akan dikirim melalui Pipemagic setelah CVE-2025-24983, bug eskalasi subsistem privilege Kernel Win32 Win32, yang ditandai oleh ESET dan ditambal oleh Microsoft bulan lalu.
Sebelumnya, Pipemagic juga diamati sehubungan dengan serangan ransomware Nokoyawa yang mengeksploitasi cacat nol CLFS lainnya (CVE-2023-28252).
“Dalam beberapa serangan lain yang kami kaitkan dengan aktor yang sama, kami juga mengamati bahwa, sebelum mengeksploitasi kerentanan ketinggian CLFS, mesin korban terinfeksi dengan pintu belakang modular khusus bernama 'Pipemagic' yang diluncurkan melalui naskah MsBuild,” Kaspersky menunjukkan pada bulan April 2023.
Sangat penting untuk dicatat bahwa Windows 11, Versi 24H2, tidak terpengaruh oleh eksploitasi khusus ini, karena akses ke kelas informasi sistem tertentu dalam informasi NTQuerySystemInformation terbatas pada pengguna dengan SedebugPrivilege, yang biasanya hanya dapat diperoleh pengguna seperti admin.
“Eksploitasi menargetkan kerentanan pada driver kernel CLFS,” tim Microsoft Ancaman Intelijen menjelaskan. “Eksploitasi kemudian menggunakan korupsi memori dan API RTLSetAllbits untuk menimpa token proses eksploitasi dengan nilai 0xffffffff, memungkinkan semua hak istimewa untuk proses, yang memungkinkan untuk injeksi proses ke dalam proses sistem.”
Eksploitasi yang berhasil diikuti oleh aktor ancaman yang mengekstraksi kredensial pengguna dengan membuang memori LSASS dan enkripsi file pada sistem dengan ekstensi acak.
Microsoft mengatakan tidak dapat memperoleh sampel ransomware untuk dianalisis, tetapi mengatakan bahwa catatan tebusan turun setelah enkripsi termasuk domain TOR yang terkait dengan keluarga ransomware ransomexx.
“Aktor ancaman ransomware menilai peningkatan eksploitasi hak istimewa pasca-kompromi karena ini dapat memungkinkan mereka untuk meningkatkan akses awal, termasuk handoff dari distributor malware komoditas, ke dalam akses istimewa,” kata Microsoft. “Mereka kemudian menggunakan akses istimewa untuk penyebaran luas dan peledakan ransomware dalam suatu lingkungan.”
