近期,与 Play 勒索软件(也称为Play Ransomware)相关的威胁行为者被发现利用 Microsoft Windows 系统中的 CVE-2025-29824 漏洞,对美国多个未公开名称的组织发起针对性攻击。
此次攻击中,攻击者使用了名为Grixba的定制化信息窃取工具(此前已归因于 Play 勒索组织),并结合该零日漏洞进行入侵。恶意文件被巧妙伪装成 Palo Alto Networks 的合法程序组件,如 paloaltoconfig.exe 和 paloaltoconfig.dll,并被投放至系统的 Music 文件夹中,以逃避检测。
漏洞原理
Microsoft Windows 通用日志文件系统 (CLFS) 驱动程序包含一个释放后使用漏洞。CLFS 驱动作为 Windows 系统的关键组件,负责维护事务日志以确保数据可靠性。攻击者通过构造恶意日志文件,可触发内存管理异常,从而在系统内核中执行任意代码。
漏洞危害
这一漏洞允许本地攻击者通过权限提升手段,将普通用户权限直接跃升至系统级别,相当于将整个计算机的控制权拱手让人。
影响范围
受 CVE-2025-29824 漏洞影响的系统包括:
Windows 10Windows 11Windows Server 2008Windows Server 2012Windows Server 2016Windows Server 2019Windows Server 2022Windows Server 2025
修复情况
在 4 月8日中,微软发布了相关漏洞补丁,并修复 CVE - 2025 - 29824 漏洞。尽管漏洞已修复,但用户仍需保持警惕,及时安装补丁,以防止类似攻击事件的发生。
参考链接
[1]https://thehackernews.com/2025/05/play-ransomware-exploited-windows-cve.html
[3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29824
-End-
如果觉得我的分享有用
[点赞+分享+关注]
原文始发于微信公众号(网络个人修炼):警惕|Play Ransomware 利用 Windows CVE-2025-29824实施勒索攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论