Informes recientes del Centro de Inteligencia de Amenazos de Microsoft (MSTIC) y Microsoft Security Response Center (MSRC) revelan vulnerabilidades clave de día cero en el sistema de archivos de registro común de Windows (CLFS) que son explotados activamente por grupos de ransomware.
La elevación de este defecto de privilegio, una vulnerabilidad rastreada como CVE-2025-29824, ha sido atacada en ataques contra múltiples sectores y grupos organizacionales nacionales, lo que lleva a Microsoft a lanzar una actualización de seguridad de emergencia el 8 de abril de 2025.
Una vulnerabilidad en el controlador del núcleo CLFS permite a los atacantes con privilegios de usuario estándar para aumentar el acceso a los controles a nivel de sistema.
Microsoft vinculó la explotación con el malware Pipemagic y desplegado por los actores de amenaza identificados como Storm-2460. El grupo ha aprovechado las hazañas para impulsar los ataques de ransomware dirigidos a las industrias de TI y bienes raíces, fondos venezolanos, software español y minoristas de Arabia Saudita.
Detalles de explotación
Una investigación de Microsoft reveló que el Storm-2460 adoptó tecnología sofisticada antes de explotar la vulnerabilidad. En algunos casos, el atacante usó la utilidad de Windows Certutil para descargar el archivo Malicioso MSBuild de un sitio web comprometido de terceros.
Este archivo fue descifrado y ejecutado a través de la devolución de llamada de la API enumcalendarinfoa antes de desbloquear el malware de la tubería. En particular, Pipemagic fue documentado previamente por Kaspersky en octubre de 2024 y vinculado a otro exploit de día cero por ESET en 2023.
Una vez que se desplegó Pipemagic, el atacante realizó una exploit CLFS en la memoria a través del proceso dllhost.exe. Exploit utiliza la API RTLSetallBits para sobrescribir tokens de proceso, otorgar privilegios completos y aprovechar las técnicas de corrupción de memoria.
Curiosamente, esta exploit se basa en la API de información de NtquerySystem para fugas de las direcciones del núcleo. Este es un enfoque ineficaz en la versión 24h2 de Windows 11, donde el acceso a ciertas clases de información del sistema está restringido a usuarios privilegiados.
Como parte del ataque, se crea un archivo CLFS BLF (C: \ ProgramData \ Skypdf \ Pdudrv.Blf) y actúa como un signo revelador para la actividad de Exploit.
Después de la explosión, el atacante inyectó la carga útil en Winlogon.exe, luego arrojó la memoria del proceso LSASS utilizando Procdump.exe de Sysinternals para cosechar las credenciales del usuario.
¡Esto permitirá que el archivo cifrado reciba una extensión aleatoria y read_me_rexx2! Se ha eliminado una nota de rescate titulada .txt.
Se han identificado dos dominios .doniones asociados con la familia de ransomware RansomExx en las notas, lo que indica posibles conexiones a esta amenaza conocida.
El ransomware, lanzado a través de la línea de comandos, como –do (path_to_ransom), a través de dllhost.exe, también ejecutó comandos que obstaculizan el trabajo de recuperación, como deshabilitar las opciones de recuperación y eliminar copias de seguridad.
Microsoft lanzó un parche para CVE-2025-29824 para garantizar que los sistemas Windows 11 versión 24H2 no se vean afectados por los métodos de explotación observados, incluso si la vulnerabilidad existe.
La compañía insta a todos los clientes a aplicar actualizaciones de inmediato para reducir el riesgo de ataques de ransomware. Los ataques de ransomware a menudo explotan tales vulnerabilidades privilegiadas para aumentar el acceso inicial a los incidentes destructivos en toda la red.
Además de parchar, Microsoft recomienda habilitar la protección de suministro de nubes en el antivirus de defensa de Microsoft, identificar sistemas no administrados utilizando el descubrimiento de dispositivos y realizar la detección y respuesta de punto final (EDR) en modo de bloque para evitar actividades maliciosas.
También se alienta a las organizaciones a aprovechar el defensor de Microsoft para las capacidades de investigación de punto final automatizado y las reglas de reducción de la superficie de ataque de ataque para mejorar sus defensas.
Indicadores de compromiso
indicatortyPedescriptionC: \ programaData \ skypdf \ pddrv.blfpathDroppedpedpedpedpedpods explotador: \ windows \ system32 \ dllhost.exe -DoCommand dllhostBcDededit /set {predeterminado} recuperado nocommand lineRanSomAnkcMin Elimina degradación de la elección delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete delete. Comando de LineSomwareMandaAAAABBBBBBBBBBBBBBBBB
A medida que los grupos de ransomware como Storm-2460 continúan aprovechando las vulnerabilidades de día cero, el incidente subraya la importancia de los parches oportunos y las medidas de seguridad en capas para proteger contra las amenazas cibernéticas en evolución.
¡Haz que esta noticia sea interesante! Siga en Google News, LinkedIn, X para obtener actualizaciones instantáneas
