警惕|Play Ransomware 利用 Windows CVE-2025-29824实施勒索攻击

admin 2025年5月8日17:17:40评论2 views字数 974阅读3分14秒阅读模式

近期,与 Play 勒索软件(也称为Play Ransomware)相关的威胁行为者被发现利用 Microsoft Windows 系统中的 CVE-2025-29824 漏洞,对美国多个未公开名称的组织发起针对性攻击。

此次攻击中,攻击者使用了名为Grixba的定制化信息窃取工具(此前已归因于 Play 勒索组织),并结合该零日漏洞进行入侵。恶意文件被巧妙伪装成 Palo Alto Networks 的合法程序组件,如 paloaltoconfig.exe 和 paloaltoconfig.dll,并被投放至系统的 Music 文件夹中,以逃避检测。

漏洞原理

Microsoft Windows 通用日志文件系统 (CLFS) 驱动程序包含一个释放后使用漏洞。CLFS 驱动作为 Windows 系统的关键组件,负责维护事务日志以确保数据可靠性。攻击者通过构造恶意日志文件,可触发内存管理异常,从而在系统内核中执行任意代码。

警惕|Play Ransomware 利用 Windows CVE-2025-29824实施勒索攻击

漏洞危害

这一漏洞允许本地攻击者通过权限提升手段,将普通用户权限直接跃升至系统级别,相当于将整个计算机的控制权拱手让人。

影响范围

受 CVE-2025-29824 漏洞影响的系统包括:

Windows 10Windows 11Windows Server 2008Windows Server 2012Windows Server 2016Windows Server 2019Windows Server 2022Windows Server 2025

修复情况

在 4 月8日中,微软发布了相关漏洞补丁,并修复 CVE - 2025 - 29824 漏洞。尽管漏洞已修复,但用户仍需保持警惕,及时安装补丁,以防止类似攻击事件的发生。

警惕|Play Ransomware 利用 Windows CVE-2025-29824实施勒索攻击

参考链接

[1]https://thehackernews.com/2025/05/play-ransomware-exploited-windows-cve.html

[2]https://www.cve.org/CVERecord?id=CVE-2025-29824

[3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29824

-End-

如果觉得我的分享有用

[点赞+分享+关注]

原文始发于微信公众号(网络个人修炼):警惕|Play Ransomware 利用 Windows CVE-2025-29824实施勒索攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月8日17:17:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕|Play Ransomware 利用 Windows CVE-2025-29824实施勒索攻击http://cn-sec.com/archives/4041395.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息