play勒索软件利用Windows零日漏洞入侵美国企业，系统权限遭全面窃取！

导语

    近期，安全研究机构Symantec披露，与Play勒索软件（又名PlayCrypt）关联的黑客组织Balloonfly，利用Windows系统高危零日漏洞CVE-2025-29824，成功入侵美国某企业网络。该漏洞属于权限提升漏洞，位于Windows通用日志文件系统（CLFS）驱动中，攻击者可在未授权情况下获取系统最高权限（SYSTEM），并部署定制化信息窃取工具Grixba。尽管此次攻击未触发勒索软件加密，但敏感数据泄露风险极高，企业需立即行动。

一.漏洞与攻击链深度解析

• 漏洞类型：释放后使用（Use-After-Free）漏洞，允许本地低权限攻击者通过低复杂度攻击获取SYSTEM权限。

• 影响范围：Windows 10/11（除24H2版本外）均受影响。24H2因限制敏感系统信息访问权限而免疫。

• 零日利用：微软于2025年4月8日修复该漏洞，但至少两个勒索组织（Balloonfly与Storm-2460）在补丁发布前已将其作为零日武器。

• 初始入侵：攻击者可能通过公共暴露的Cisco ASA防火墙漏洞进入目标网络，具体漏洞细节尚未公开。

• 横向移动：突破防火墙后，攻击者通过未知方式横向渗透至内部Windows主机，并在Music文件夹中植入伪装成Palo Alto软件的恶意文件（如paloaltoconfig.exe）。

• 权限提升：利用CVE-2025-29824漏洞，攻击者调用CLFS驱动程序的API函数，通过多线程操作触发内存损坏，最终覆盖进程令牌权限，实现提权。

• 信息窃取：部署Grixba恶意工具，收集Active Directory内所有主机信息（如操作系统版本、IP地址等），并存储为CSV文件，为后续横向渗透铺路。

• 痕迹清理：攻击者通过批处理文件cmdpostfix.bat清除日志，掩盖入侵痕迹。

• 勒索关联：尽管未部署勒索软件，但Grixba与Play勒索家族存在强关联，且微软发现另一组织Storm-2460利用同一漏洞部署PipeMagic木马及RansomEXX勒索软件。

二.为何企业需高度警惕？

1. 双重威胁：CVE-2025-29824已被至少两个勒索组织利用，攻击手法多样化（文件攻击 vs. 内存无文件攻击），防御难度陡增。

2. 数据泄露风险：Grixba可窃取IT资产清单、管理员凭证等高敏信息，后续可能引发勒索攻击或APT渗透。

3. 合规压力：未及时修补漏洞可能违反GDPR、CCPA等数据保护法规，导致法律追责。

三.修复与防御建议

• 立即安装微软2025年4月补丁：通过Windows Update或手动下载更新包。

• 检查系统版本：确认Windows 11 24H2以下版本已升级至最新安全版本。

• 限制公网暴露：关闭非必要的Cisco ASA防火墙端口，将关键系统置于VPN或内网环境。

• 启用多因素认证（MFA）：防止攻击者利用窃取的凭证横向移动。

• 日志分析：检查C:ProgramDataSkyPDF路径下是否存在异常文件（如PDUDrv.blf、clssrv.inf），监控winlogon.exe进程的异常DLL注入。

• 扫描恶意样本：排查Music文件夹中伪装成Palo Alto或包含1day.exe的可疑文件。

四.历史教训与未来预警

• 勒索软件“零日化”趋势：2023年Black Basta组织曾利用Windows错误报告服务零日漏洞（CVE-2024-26169），此次事件再次印证勒索团伙正加速整合零日武器。

• 供应链攻击隐患：攻击者通过入侵合法第三方网站，利用certutil工具下载恶意MSBuild文件，企业需加强对第三方依赖的安全审计。

总结

    CVE-2025-29824的利用标志着勒索攻击进入“精准提权”时代，企业需以小时为单位响应漏洞预警。防御窗口稍纵即逝，立即行动方能化险为夷！

原文始发于微信公众号（道玄网安驿站）：play勒索软件利用Windows零日漏洞入侵美国企业，系统权限遭全面窃取！