微软警告：Windows CLFS 漏洞可能导致勒索软件的广泛部署和爆发

微软检测到 Windows 通用日志文件系统 (CLFS) 中存在一个0day漏洞，该漏洞正被利用来部署勒索软件。攻击目标包括美国 IT企业和房地产行业、委内瑞拉金融业、西班牙软件公司和沙特阿拉伯零售企业。

该漏洞编号为 CVE-2025-29824，级别为“重要”，存在于 CLFS 内核驱动程序中。该漏洞允许已拥有系统标准用户访问权限的攻击者提升其本地权限。根据微软威胁情报中心的一篇博客文章，攻击者可以利用其特权访问权限“在环境中广泛部署和引爆勒索软件” 。

CFLS 驱动程序是 Windows 中用于写入事务日志的关键组件，滥用该驱动程序可能使攻击者获得 SYSTEM 权限。攻击者可以利用该权限窃取数据或安装后门。微软经常发现 CFLS 中的提权漏洞，最近一次漏洞已于 12 月修复。

在微软观察到的 CVE-2025-29824 漏洞利用案例中，“PipeMagic”恶意软件在攻击者利用该漏洞提升权限之前就已部署。PipeMagic 使攻击者能够远程控制系统，并允许他们运行命令或安装更多恶意工具。

微软已将 Storm-2460 组织确定为利用 PipeMagic 和勒索软件利用此漏洞的攻击者，并将其与 RansomEXX 组织联系起来。

该组织别名 Defray777，于 2018 年出现。他们的目标包括德克萨斯州交通部、巴西政府以及中国台湾硬件制造商技嘉科技等知名机构。该组织与俄罗斯黑客有关联。

美国网络机构已将该漏洞添加到已知可利用漏洞列表中，联邦民事机构必须在 4 月 29 日之前应用该补丁。

4 月 8 日，微软发布安全更新来修补该漏洞。Windows 10 x64 和 32 位系统仍在等待修复，微软表示将“尽快”发布更新，并且“一旦发布，将通过修订此 CVE 信息通知客户”。

即使存在该漏洞，运行 Windows 11 24H2 或更高版本的设备也无法通过这种方式利用漏洞。只有拥有“SeDebugPrivilege”权限的用户才能访问所需的系统信息，而标准用户通常无法获得此级别的访问权限。

微软观察到威胁组织使用 certutil 命令行实用程序将恶意 MSBuild 文件下载到受害者的系统上。

该文件携带加密的 PipeMagic 有效载荷，可在一个曾经合法的第三方网站上找到，该网站已被入侵，用于托管威胁组织的恶意软件。PipeMagic 与之通信的一个域名是 aaaaabbbbbbb.eastus.cloudapp.azure[.]com，该域名现已被禁用。

一旦 PipeMagic 被解密并在内存中运行，攻击者就会使用 dllhost.exe 进程将内核地址（即内存位置）泄露给用户模式。他们用值 0xFFFFFFFF 覆盖进程的令牌（该令牌定义了进程可以执行的操作），从而授予其完全权限，并允许攻击者将代码注入 SYSTEM 级进程。

接下来，他们将有效载荷注入到 SYSTEM winlogon.exe 进程中，随后将 Sysinternals procdump.exe 工具注入到另一个 dllhost.exe 进程中并执行。这使得攻击者能够转储 LSASS（一个包含用户凭据的进程）的内存。

凭证被盗后，勒索软件被部署。微软发现文件被加密，添加了随机扩展名，并在受影响的系统上留下了名为 !_READ_ME_REXX2_!.txt 的勒索信。

微软博客文章：

https://www.microsoft.com/en-us/security/blog/2025/04/08/exploitation-of-clfs-zero-day-leads-to-ransomware-activity/

新闻链接：

https://www.techrepublic.com/article/news-microsoft-windows-common-log-file-system-vulnerability/