Home Tecnologia El troyano PipeMagic explota una vulnerabilidad de día cero de Windows para implementar ransomware

El troyano PipeMagic explota una vulnerabilidad de día cero de Windows para implementar ransomware

abril 10, 2025

Microsoft ha revelado que una falla de seguridad ahora parcheada que afecta al Sistema de archivos de registro común de Windows (CLFS) fue explotada como un día cero en ataques de ransomware dirigidos a una pequeña cantidad de objetivos.

"Los objetivos incluyen organizaciones de los sectores de tecnología de la información (TI) y bienes raíces de Estados Unidos, el sector financiero de Venezuela, una empresa de software española y el sector minorista de Arabia Saudita", dijo el gigante tecnológico .

La vulnerabilidad en cuestión es CVE-2025-29824, un error de escalada de privilegios en CLFS que podría explotarse para obtener privilegios de sistema. Redmond la corrigió en su actualización del martes de parches de abril de 2025.

Microsoft está rastreando la actividad y la explotación posterior al compromiso de CVE-2025-29824 bajo el nombre de Storm-2460, y los actores de amenazas también aprovechan un malware llamado PipeMagic para distribuir el exploit y las cargas útiles de ransomware.


Se desconoce el vector de acceso inicial exacto utilizado en los ataques. Sin embargo, se ha observado que los actores de amenazas utilizan la utilidad certutil para descargar malware desde un sitio web legítimo de terceros previamente comprometido para preparar las cargas útiles.

El malware es un archivo MSBuild malicioso que contiene una carga útil cifrada, que luego se descomprime para ejecutar PipeMagic, un troyano basado en complementos que se ha detectado en circulación desde 2022.

Vale la pena mencionar aquí que CVE-2025-29824 es la segunda falla de día cero de Windows que se distribuye a través de PipeMagic después de CVE-2025-24983 , un error de escalada de privilegios del subsistema del kernel Win32 de Windows, que fue marcado por ESET y parcheado por Microsoft el mes pasado.

Anteriormente, PipeMagic también se observó en relación con los ataques de ransomware Nokoyawa que explotaban otra falla de día cero de CLFS ( CVE-2023-28252 ).

En otros ataques que atribuimos al mismo actor, también observamos que, antes de explotar la vulnerabilidad de elevación de privilegios de CLFS, las máquinas de las víctimas se infectaron con una puerta trasera modular personalizada llamada 'PipeMagic', que se ejecuta mediante un script de MSBuild, señaló Kaspersky en abril de 2023.

Es fundamental tener en cuenta que Windows 11, versión 24H2, no se ve afectado por esta explotación específica, ya que el acceso a ciertas clases de información del sistema dentro de NtQuerySystemInformation está restringido a usuarios con SeDebugPrivilege , que normalmente solo pueden obtener los usuarios con privilegios de administrador .

El exploit se dirige a una vulnerabilidad en el controlador del kernel CLFS, explicó el equipo de Inteligencia de Amenazas de Microsoft. El exploit utiliza una corrupción de memoria y la API RtlSetAllBits para sobrescribir el token del proceso del exploit con el valor 0xFFFFFFFF, lo que habilita todos los privilegios del proceso y permite la inyección de procesos en los procesos del SISTEMA.


 


0 comments:

Publicar un comentario