Editor Top
Microsoft ha detectado una vulnerabilidad de día cero en el sistema de archivos de registro común de Windows (CLFS) que se explota en la naturaleza para implementar ransomware. Las industrias objetivo incluyen TI, bienes raíces, finanzas, software y venta minorista, con empresas con sede en los Estados Unidos, España, Venezuela y Arabia Saudita.
La vulnerabilidad, rastreada como CVE-2025-29824 y calificada como «importante», está presente en el controlador del núcleo CLFS. Permite que un atacante que ya tiene acceso estándar a un usuario a un sistema intensifica sus privilegios locales. El individuo puede usar su acceso privilegiado para «implementación generalizada y detonación de ransomware dentro de un entorno», según un Publicación de blog del Centro de Inteligencia de Amenazas de Microsoft.
El controlador CFLS es un elemento clave de Windows utilizado para escribir registros de transacciones, y su mal uso podría permitir que un atacante obtenga privilegios del sistema. A partir de ahí, podrían robar datos o instalar puertas traseras. Microsoft a menudo descubre fallas de escalada de privilegios en CFL, la última se parqueada en diciembre.
En casos de explotación CVE-2025-29824 observada por Microsoft, el llamado malware «Pipemagic» se desplegó antes de que los atacantes pudieran explotar la vulnerabilidad para aumentar sus privilegios. Pipemagic ofrece a los atacantes control remoto sobre un sistema y les permite ejecutar comandos o instalar más herramientas maliciosas.
Ver: TechRepublic Exclusive: Los nuevos ataques de ransomware se están volviendo más personales a medida que los hackers ‘aplican presión psicológica’
¿Quién está detrás de la explotación?
Microsoft ha identificado Storm-2460 como el actor de amenaza que explota esta vulnerabilidad con Pipemagic y Ransomware, lo que lo vincula con el grupo RansomExx.
Una vez conocidos como Sufray777, los atacantes entraron en escena en 2018. Desde entonces, han atacado a organizaciones de alto perfil como el Departamento de Transporte de Texas, el gobierno brasileño y el fabricante de hardware taiwanés Gigabyte. El grupo ha sido vinculado a los nacionales rusos.
La agencia cibernética de los Estados Unidos ha agregado la vulnerabilidad de 7.8 a su lista de vulnerabilidades explotadas conocidaslo que significa que las agencias civiles federales deben aplicar el parche antes del 29 de abril.
Windows 10, Windows 11 y Windows Server son vulnerables
El 8 de abril, se lanzaron actualizaciones de seguridad para parchear la vulnerabilidad en Windows 11, Windows Server 2022 y Windows Server 2019. Los sistemas basados en Windows 10 x64 y 32 bits todavía están esperando correcciones, pero Redmond dice que se lanzarán «»lo antes posible«Y» Los clientes serán notificados mediante una revisión de esta información de CVE «tan pronto como sean.
Los dispositivos que ejecutan Windows 11 versión 24h2 o más nuevo no pueden ser explotados de esta manera, incluso si la vulnerabilidad existe. El acceso a la información del sistema requerida está restringida a los usuarios con el permiso de «SedebugPrivilege», un nivel de acceso que generalmente no está disponible para los usuarios estándar.
Cómo funciona la explotación
Microsoft observó a los actores de amenaza que usan la utilidad de la línea de comandos Certutil para descargar un archivo MSBuild malicioso en el sistema de la víctima.
Este archivo, que llevaba una carga útil Pipemagic cifrada, estaba disponible en un sitio web de terceros que había sido comprometido a alojamiento del malware del actor de amenaza. Un dominio Pipemagic comunicado fue AAAAABBBBBBB.EASTUS.CLOUDAPP.AZURE[.]com, que ahora ha sido deshabilitado.
Una vez que Pipemagic fue descifrado y ejecutado en la memoria, los atacantes utilizaron un proceso dllhost.exe para filtrar direcciones del núcleo, o ubicaciones de memoria, al modo de usuario. Sobrescriben el token del proceso, que define lo que el proceso puede hacer, con el valor 0xffffffff, otorgándole privilegios completos y permitiendo a los atacantes inyectar código en procesos a nivel de sistema.
A continuación, inyectaron una carga útil en el proceso Winlogon.exe del sistema, que posteriormente inyectó la herramienta Sysinternals Procdump.exe en otro proceso dllhost.exe y la ejecutó. Esto permitió al actor de amenaza de volcar la memoria de LSASS, un proceso que contiene credenciales de usuario.
Después del robo de credenciales, se implementó el ransomware. Microsoft observó archivos encriptados, una extensión aleatoria agregada y una nota de rescate llamada! _Read_me_rexx2 _!. TXT se redujo en los sistemas afectados.
