“Grupo de ransomware explota activamente vulnerabilidad zero-day en CLFS de Windows”
Publicado enZero Day

“Grupo de ransomware explota activamente vulnerabilidad zero-day en CLFS de Windows”

No hay comentarios

Vulnerabilidad Zero-Day en Windows CLFS Explotada por Grupo Ransomware

Una vulnerabilidad crítica de tipo zero-day en el sistema de archivos de registro común de Windows (CLFS) ha sido descubierta y está siendo explotada activamente por un grupo de ransomware. Identificada como CVE-2025-29824, esta falla de elevación de privilegios permite a atacantes con permisos de usuario estándar escalar sus privilegios hasta obtener control a nivel del sistema. Microsoft ha emitido actualizaciones de seguridad urgentes el 8 de abril de 2025 para mitigar este riesgo.

Detalles Técnicos de la Explotación

La vulnerabilidad reside en el controlador kernel de CLFS, y su explotación ha sido vinculada al malware PipeMagic, desplegado por el grupo de amenazas identificado como Storm-2460. Este actor ha utilizado la vulnerabilidad para llevar a cabo ataques de ransomware en sectores como TI, bienes raíces (EE.UU.), finanzas (Venezuela), software (España) y retail (Arabia Saudita).

Microsoft detalló que los atacantes emplearon técnicas sofisticadas antes de explotar la vulnerabilidad:

  • Uso de certutil para descargar un archivo malicioso MSBuild desde un sitio web comprometido.
  • Ejecución del malware PipeMagic mediante la API EnumCalendarInfoA.
  • Explotación en memoria mediante un proceso dllhost.exe, utilizando la API RtlSetAllBits para sobrescribir el token del proceso y obtener privilegios elevados.

Indicadores de Compromiso (IoC)

Entre los indicadores clave se encuentran:

  • Archivo BLF: C:\ProgramData\SkyPDF\PDUDrv.blf, creado durante la explotación.
  • Comandos post-explotación: Inyección de código en winlogon.exe, uso de procdump.exe para extraer credenciales de LSASS.
  • Ransomware: Archivos cifrados con extensiones aleatorias y nota de rescate (!READ_ME_REXX2!.txt). Dominios .onion vinculados a la familia RansomEXX.

Mitigaciones Recomendadas

Microsoft ha publicado parches para CVE-2025-29824 y confirmó que los sistemas con Windows 11, versión 24H2 no son afectados por el método de explotación observado. Las recomendaciones adicionales incluyen:

  • Habilitar protección en la nube en Microsoft Defender Antivirus.
  • Usar herramientas de descubrimiento de dispositivos para identificar sistemas no gestionados.
  • Implementar reglas de reducción de superficie de ataque y capacidades de investigación automatizada de Defender for Endpoint.

Este incidente subraya la importancia de aplicar parches oportunos y adoptar medidas de seguridad en capas para contrarrestar amenazas cibernéticas en evolución. Para más detalles, consulta la fuente original.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta