Allarme Microsoft: un exploit zero-day di Privilege Escalation sfruttato per rilasciare Ransomware

Redazione RHC : 9 Aprile 2025 07:35

Microsoft Threat Intelligence ha rivelato lo sfruttamento attivo di una vulnerabilità zero-day nel Common Log File System (CLFS) di Windows, identificata come CVE-2025-29824. L’exploit, utilizzato in modo diffuso, ha permesso agli aggressori di aumentare i privilegi sui computer compromessi e di diffondere payload ransomware.

L’attività di sfruttamento è stata attribuita a Storm-2460, un gruppo di autori di minacce motivati ​​da interessi finanziari, collegato anche alle operazioni del backdoor PipeMagic e del ransomware RansomEXX.

Gli attacchi hanno preso di mira un numero limitato di organizzazioni operanti in vari settori, tra cui:

• Tecnologia dell’informazione (IT) e settore immobiliare negli Stati Uniti
• Il settore finanziario in Venezuela
• Un’azienda di software in Spagna
• Il settore della vendita al dettaglio in Arabia Saudita

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La vulnerabilità, identificata come CVE-2025-29824, è localizzata nel driver del kernel Common Log File System (CLFS). Lo sfruttamento di questa falla zero-day consente a un aggressore con un account utente standard di aumentare i propri privilegi. Microsoft ha rilasciato aggiornamenti di sicurezza l’8 aprile 2025 per risolvere questa vulnerabilità.

L’indagine di Microsoft ha rivelato che l’exploit zero-day CLFS è stato distribuito dal malware PipeMagic. L’attività di sfruttamento è attribuita a Storm-2460, un autore di minacce noto anche per utilizzare PipeMagic per diffondere ransomware.

Il report di Microsoft sottolinea il valore degli exploit di elevazione dei privilegi per gli autori di ransomware, affermando : ” Gli autori di minacce ransomware apprezzano gli exploit di elevazione dei privilegi post-compromissione perché questi potrebbero consentire loro di intensificare l’accesso iniziale“. Questo accesso consente agli aggressori di ottenere “una distribuzione del ransomware all’interno di un ambiente di produzione”.

Dopo aver sfruttato la vulnerabilità con successo, gli aggressori iniettano un payload in winlogon.exe. Questo payload, a sua volta, ha iniettato lo strumento procdump.exe di Sysinternals per svuotare la memoria del processo LSASS e ottenere le credenziali dell’utente.

Il rapporto afferma che ” Microsoft ha osservato attività ransomware sui sistemi presi di mira. I file sono stati crittografati e gli è stata aggiunta un’estensione casuale, ed è stata rilasciata una richiesta di riscatto con il nome !READ_ME_REXX2!.txt “.

Microsoft consiglia vivamente alle organizzazioni di “dare priorità all’applicazione degli aggiornamenti di sicurezza per le vulnerabilità di elevazione dei privilegi, per aggiungere un livello di difesa contro gli attacchi ransomware nel caso in cui gli autori della minaccia riescano a mettere piede per la prima volta nelle loro infrastrutture”.

In particolare, si invitano i clienti ad applicare gli aggiornamenti di sicurezza rilasciati l’8 aprile 2025 per risolvere la vulnerabilità CVE-2025-29824 il prima possibile. In particolare, “I clienti che utilizzano Windows 11, versione 24H2, non sono interessati dallo sfruttamento osservato, anche se la vulnerabilità fosse presente “.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.