利用 CVE-2025-29824 CLFS 零日漏洞可导致勒索软件活动

Microsoft 威胁情报中心 （MSTIC） 和 Microsoft 安全响应中心 （MSRC） 发现，在入侵后利用 Windows 通用日志文件系统 （CLFS） 中的零日特权提升漏洞攻击少数目标。目标包括美国信息技术 （IT） 和房地产行业的组织、委内瑞拉的金融部门、西班牙软件公司以及沙特阿拉伯的零售部门。Microsoft 于 2025 年 4 月 8 日发布了安全更新以解决该漏洞，跟踪为 CVE-2025-29824。

除了发现漏洞外，Microsoft 还发现该漏洞已被 PipeMagic 恶意软件部署。Microsoft 将利用活动归因于 Storm-2460，该组织还使用 PipeMagic 部署勒索软件。勒索软件威胁行为者重视入侵后的权限提升漏洞，因为这些漏洞可能使他们能够将初始访问（包括来自商品恶意软件分销商的移交）升级为特权访问。然后，他们使用特权访问在环境中广泛部署和引爆勒索软件。Microsoft 强烈建议组织优先应用安全更新来应对特权提升漏洞，以便在威胁行为者能够获得初步立足点时增加一层防御措施来抵御勒索软件攻击。

博客详细介绍了 Microsoft 对观察到的 CLFS 漏洞和针对客户的相关活动的分析。此信息将与我们的客户和行业合作伙伴共享，以改进对这些攻击的检测，并鼓励根据需要快速修补或其他缓解措施。博客文章末尾提供了更全面的建议部分，其中包含入侵指标和检测详细信息。

CVE 2025-29824：通用日志文件系统 （CLFS） 中的零日漏洞

Microsoft 发现的漏洞利用活动以通用日志文件系统 （CLFS） 内核驱动程序中的零日漏洞为目标。成功利用此漏洞可让以标准用户帐户身份运行的攻击者提升权限。该漏洞被跟踪为 CVE-2025-29824，并于 2025 年 4 月 8 日修复。

漏洞利用前活动

虽然 Microsoft 尚未确定导致设备遭到入侵的初始访问向量，但 Storm-2460 存在一些值得注意的利用前行为。在多个案例中，威胁行为者使用 certutil 实用程序从合法的第三方网站下载文件，该网站之前已被入侵以托管威胁行为者的恶意软件。

下载的文件是一个恶意的 MSBuild 文件，此处介绍的一种技术，它携带加密的恶意软件负载。一旦通过 EnumCalendarInfoA API 回调解密并执行有效负载，就会发现恶意软件是 PipeMagic，卡巴斯基于 2024 年 10 月记录了该恶意软件。ESET 的研究人员还观察到 2023 年将 PipeMagic 与部署分配为 CVE-2025-24983 的 Win32k 漏洞的零日漏洞利用有关。PipeMagic 示例使用的域是 aaaaabbbbbbb.eastus.cloudapp.azure[.]com 的 COM，现已被 Microsoft 禁用。

CLFS 漏洞利用活动

在 PipeMagic 部署之后，攻击者从 dllhost.exe 进程在内存中发起了 CLFS 漏洞利用。

该漏洞利用以 CLFS 内核驱动程序中的漏洞为目标。值得注意的是，该漏洞首先使用 NtQuerySystemInformation API 将内核地址泄漏到用户模式。但是，从 Windows 11 版本 24H2 开始，只有具有 SeDebugPrivilege 的用户才能访问 NtQuerySystemInformation 中的某些系统信息类，通常只有类似管理员的用户才能获取。这意味着即使存在漏洞，该漏洞也无法在 Windows 11 版本 24H2 上运行。

然后，该漏洞利用内存损坏和 RtlSetAllBits API 用值 0xFFFFFFFF 覆盖漏洞利用进程的令牌，从而启用该进程的所有权限，从而允许将进程注入 SYSTEM 进程。

作为利用过程的一部分，利用程序的 dllhost.exe 进程会创建一个路径如下的 CLFS BLF 文件：C：ProgramDataSkyPDFPDUDrv.blf。

利用后活动导致勒索软件活动

成功利用后，有效负载将注入 winlogon.exe。 然后，此有效负载将 Sysinternals procdump.exe 工具注入到另一个dllhost.exe，并使用以下命令行运行它：

C:Windowssystem32dllhost.exe -accepteula -r -ma lsass.exe c:programdata[random letters].

完成此作后，执行组件能够转储 LSASS 的内存并对其进行解析以获取用户凭据。

然后，Microsoft 在目标系统上观察到勒索软件活动。文件被加密并添加了随机扩展名，以及一张名为 ！READ_ME_REXX2！ 的赎金票据。TXT 已删除。Microsoft 正在跟踪与此勒索软件相关的 Storm-2460 活动。

虽然我们无法获得勒索软件样本进行分析，但我们将包括一些围绕该活动的值得注意的事件，以更好地帮助防御者：

• 在 ！READ_ME_REXX2！ 中发现了两个 .onion 域名。TXT 赎金记录

• uyhi3ypdkfeymyf5v35pbk3pz7st3zamsbjzf47jiqbcm3zmikpwf3qd.onion

• jbdg4buq6jd7ed3rd6cynqtq5abttuekjnxqrqyvk4xam5i7ld33jvqd.onion 与 RansomEXX 勒索软件家族有关

• 勒索软件使用命令行从 dllhost.exe 启动：

--do [path_to_ransom] (for example, C:Windowssystem32dllhost.exe --do C:foobar)

• 加密文件的文件扩展名对于每个设备是随机的，但每个文件都是相同的

• 执行一些使恢复或分析更加困难的典型勒索软件命令，包括：

• wevtutil cl 应用

• wbadmin delete catalog -quiet

• bcdedit /set {default} recoveryenabled 否

• 在一个观察到的案例中，角色生成了 notepad.exe 作为 SYSTEM

缓解和保护指南

Microsoft 于 2025 年 4 月 8 日发布了安全更新以解决 CVE 2025-29824。运行 Windows 11 版本 24H2 的客户不会受到观察到的漏洞利用的影响，即使存在漏洞也是如此。Microsoft 敦促客户尽快应用这些更新。

Microsoft 建议采取以下缓解措施来减少与 Storm-2460 相关的活动的影响：

• 请参阅博客勒索软件即服务：了解网络犯罪零工经济以及如何保护自己，以采取有力措施来抵御勒索软件。

• 在 Microsoft Defender Antivirus 或防病毒产品的等效功能中启用云提供的保护，以涵盖快速发展的攻击者工具和技术。基于云的机器学习保护可阻止大多数新的和未知的变体。

• 使用设备发现，通过在网络上查找未托管的设备并将其载入 Microsoft Defender for Endpoint，提高对网络的可见性。勒索软件攻击者通常会识别非托管系统或遗留系统，并利用这些盲点来发动攻击。

• 在阻止模式下运行 EDR，以便 Microsoft Defender for Endpoint 可以阻止恶意项目，即使非 Microsoft 防病毒软件未检测到威胁或Microsoft Defender防病毒在被动模式下运行时也是如此。阻止模式下的 EDR 在后台工作，以修复在违规后检测到的恶意工件。

• 在完全自动化模式下启用调查和修正，以允许 Microsoft Defender for Endpoint 立即对警报采取措施以解决违规问题，从而显著减少警报量。使用 Microsoft Defender 漏洞管理评估您的当前状态并部署可能错过的任何更新。

• Microsoft 365 Defender 客户可以启用攻击面减少规则，以防止勒索软件攻击中使用的常见攻击技术：

• 使用针对勒索软件的高级保护

搜寻查询

Microsoft Sentinel

Microsoft Sentinel 客户可以使用 TI 映射分析（一系列分析，全部以“TI map”为前缀）自动将本博客文章中提到的恶意域指示器与其工作区中的数据进行匹配。如果当前未部署 TI 地图分析，客户可以从 Microsoft Sentinel 内容中心安装威胁情报解决方案，以便在其 Sentinel 工作区中部署分析规则。

搜索暴露了 CVE-2025-29814 的设备

DeviceTvmSoftwareVulnerabilities| where CveId in ("CVE-2025-29814")| project DeviceId,DeviceName,OSPlatform,OSVersion,SoftwareVendor,SoftwareName,SoftwareVersion,CveId,VulnerabilitySeverityLevel| join kind=inner ( DeviceTvmSoftwareVulnerabilitiesKB | project CveId, CvssScore,IsExploitAvailable,VulnerabilitySeverityLevel,PublishedDate,VulnerabilityDescription,AffectedSoftware ) on CveId| project DeviceId,DeviceName,OSPlatform,OSVersion,SoftwareVendor,SoftwareName,SoftwareVersion,CveId,VulnerabilitySeverityLevel,CvssScore,IsExploitAvailable,PublishedDate,VulnerabilityDescription,AffectedSoftware

检测利用 CVE 2025-29824 后创建 CLFS BLF 文件

DeviceFileEvents | where FolderPath has "C:\ProgramData\SkyPDF\" and FileName endswith ".blf"

LSSASS 进程转储活动

SecurityEvent | where EventID == 4688| where CommandLine has("dllhost.exe -accepteula -r -ma lsass.exe") | extend timestamp = TimeGenerated, AccountCustomEntity = Account, HostCustomEntity = Computer

勒索软件进程活动

let cmdlines = dynamic(["C:\Windows\system32\dllhost.exe --do","bcdedit /set {default} recoveryenabled no","wbadmin delete catalog -quiet","wevtutil cl Application"]);``DeviceProcessEvents | where ProcessCommandLine has_any (cmdlines)| project TimeGenerated, DeviceName, ProcessCommandLine, AccountDomain, AccountName

PipeMagic 和 RansomEXX fansomware域

let domains = dynamic(["aaaaabbbbbbb.eastus.cloudapp.azure.com","jbdg4buq6jd7ed3rd6cynqtq5abttuekjnxqrqyvk4xam5i7ld33jvqd.onion","uyhi3ypdkfeymyf5v35pbk3pz7st3zamsbjzf47jiqbcm3zmikpwf3qd.onion"]);DeviceNetworkEvents| where RemoteUrl has_any (domains)| project TimeGenerated, DeviceId, DeviceName, Protocol, LocalIP, LocalIPType, LocalPort,RemoteIP, RemoteIPType, RemotePort, RemoteUrl

感染指标

引用

• https://blog.talosintelligence.com/building-bypass-with-msbuild/

• https://www.kaspersky.com/about/press-releases/kaspersky-uncovers-pipemagic-backdoor-attacks-businesses-through-fake-chatgpt-application

• https://x.com/ESETresearch/status/1899508656258875756

原文始发于微信公众号（0x6270安全团队）：利用 CVE-2025-29824 CLFS 零日漏洞可导致勒索软件活动