摘要：上述漏洞是 CVE-2025-29824，这是通用日志文件系统中的一个权限提升漏洞，可被利用来获取系统（SYSTEM）权限。作为 2025 年 4 月 “周二补丁日” 更新的一部分，雷德蒙德（微软总部所在地，此处指代微软）修复了该漏洞。

微软披露，一个现已修复的安全漏洞曾在针对少数目标的勒索软件攻击中被作为零日漏洞利用，该漏洞影响了 Windows 通用日志文件系统（CLFS）。

这家科技巨头表示：“目标包括美国信息技术（IT）和房地产行业的机构、委内瑞拉金融行业的机构、一家西班牙软件公司，以及沙特阿拉伯零售行业的机构。”

上述漏洞是 CVE-2025-29824，这是通用日志文件系统中的一个权限提升漏洞，可被利用来获取系统（SYSTEM）权限。作为 2025 年 4 月 “周二补丁日” 更新的一部分，雷德蒙德（微软总部所在地，此处指代微软）修复了该漏洞。

微软将 CVE-2025-29824 漏洞被利用后的活动以及攻击后的相关操作归为 “风暴 - 2460（Storm-2460）” 事件进行追踪，威胁行为者还利用了一款名为 “管道魔法（PipeMagic）” 的恶意软件来实施漏洞利用，并植入勒索软件有效载荷。
网络安全

目前尚不清楚这些攻击中确切的初始访问途径。不过，已观察到威胁行为者使用了 certutil 实用工具，从一个此前已被攻陷的合法第三方网站下载恶意软件，以便部署有效载荷。

该恶意软件是一个恶意的 MSBuild 文件，其中包含一个加密的有效载荷，随后该有效载荷会被解压以启动 “管道魔法”，这是一款基于插件的木马程序，自 2022 年起就在实际环境中被检测到。

值得一提的是，继 CVE-2025-24983（一个 Windows Win32 内核子系统权限提升漏洞，上个月被 ESET 标记并由微软修复）之后，CVE-2025-29824 是第二个通过 “管道魔法” 被利用的 Windows 零日漏洞。

此前，还观察到 “管道魔法” 与 “野川（Nokoyawa）” 勒索软件攻击有关，后者利用了另一个通用日志文件系统的零日漏洞（CVE-2023-28252）。

卡巴斯基在 2023 年 4 月指出：“在我们认为是同一攻击者实施的其他一些攻击中，我们还观察到，在利用通用日志文件系统的权限提升漏洞之前，受害者的机器已感染了一款名为‘管道魔法’的定制模块化后门程序，该程序通过一个 MSBuild 脚本启动。”

至关重要的是要注意，Windows 11 的 24H2 版本不受这种特定漏洞利用的影响，因为对 NtQuerySystemInformation 中某些系统信息类别的访问权限仅限于拥有 “调试权限（SeDebugPrivilege）” 的用户，而通常只有类似管理员的用户才能获得该权限。

微软威胁情报团队解释称：“该漏洞利用针对的是通用日志文件系统内核驱动程序中的一个漏洞。然后，漏洞利用会利用内存损坏问题以及 RtlSetAllBits 应用编程接口（API），用值 0xFFFFFFFF 覆盖漏洞利用进程的令牌，从而为该进程启用所有权限，这使得可以将进程注入到系统进程中。”

网络安全

成功利用该漏洞后，威胁行为者会通过转储本地安全机构子系统服务（LSASS）的内存来提取用户凭据，并使用一个随机扩展名加密系统上的文件。

微软表示，它无法获取一个勒索软件样本进行分析，但称加密后留下的勒索信中包含一个与 “勒索大盗（RansomEXX）” 勒索软件家族相关的洋葱路由（TOR）域名。

微软称：“勒索软件威胁行为者重视攻击成功后的权限提升漏洞利用，因为这些可以使他们将初始访问权限（包括从普通恶意软件传播者那里获得的权限）提升为特权访问权限。然后，他们利用特权访问权限在一个环境中广泛部署和激活勒索软件。”

来源：小肖说科技