Vulnerabilitate critică de securitate cibernetică la nivelul Microsoft Windows. Autoritățile au emis o ALERTĂ. Ce trebuie să faci

Vulnerabilitate critică de securitate cibernetică la nivelul Microsoft Windows, anunță Directoratul Național de Securitate Cibernetică (DNSC).

Potrivit DNSC, CVE-2025-29824 este o vulnerabilitate zero-day despre care Microsoft a confirmat că era exploatată activ înainte de lansarea patch-ului.

Această vulnerabilitate de tip escaladare a privilegiilor permite unui atacator care are deja acces la un sistem să își extindă permisiunile dincolo de cele acordate inițial.

În acest caz, defecțiunea se află în driverul Common Log File System (CLFS).

Dacă este exploatată cu succes, un atacator ar putea obține privilegii de sistem, permițându-i astfel să execute cod arbitrar, să instaleze programe malițioase, să modifice setările sistemului sau să acceseze date sensibile.

Microsoft a publicat patch-ul de securitate „Patch Tuesday” care remediază peste 120 de vulnerabilități, printre care și CVE-2025-29824, o vulnerabilitate zero-day exploatată activ, ce afectează driverul Common Log File System (CLFS) din Windows.

CVE-2025-29824 permite escaladarea privilegiilor – un atacator care compromite un sistem poate obține acces complet la nivel de sistem, instalând malware, modificând configurații sau accesând date sensibile.

Scor CVSS: 7.8 (Ridicat)

Vulnerabilitate critică de securitate cibernetică la nivelul Microsoft Windows: Detalii tehnice

Metodele inițiale de acces care au permis compromiterea dispozitivelor nu au fost încă identificate, dar Microsoft a observat mai multe comportamente specifice grupării Storm-2460.

Atacatorii au descărcat fișiere dăunătoare de pe site-uri legitime compromise și au utilizat un malware cunoscut sub numele “PipeMagic”.

După livrarea malware-ului, atacatorii au declanșat exploatarea vulnerabilității din driverul kernel CLFS, rulând codul rău intenționat din procesul dllhost.exe.

Vectorul de atac utilizează inițial funcția NtQuerySystemInformation pentru a extrage adrese de memorie din kernel, însă pe Windows 11 versiunea 24H2 accesul este restricționat la utilizatori cu privilegii administrative, ceea ce împiedică funcționarea.

Ulterior, printr-o corupere de memorie și apelarea funcției RtlSetAllBits, token-ul de securitate al procesului este modificat pentru a activa toate privilegiile, permițând injectarea în procese de sistem.

În timpul exploatării, este generat un fișier dăunător cu extensia .blf, localizat în partiția C:, calea C:\ProgramData\SkyPDF\PDUDrv.blf”.

Vulnerabilitate critică de securitate cibernetică la nivelul Microsoft Windows: Cum îți dai seama că ești compromis

DNSC a arătat care sunt indicatorii de compromitere:

• C:\ProgramData\SkyPDF\PDUDrv.blf – Fișier generat în timpul exploatării vulnerabilității din driverul CLFS.
• C:\Windows\system32\dllhost.exe –do – Comandă folosită pentru a executa sau injecta cod rău intenționat prin intermediul procesului dllhost.exe.
• bcdedit /set {default} recoveryenabled no – Comandă specifică atacurilor ransomware, utilizată pentru a dezactiva opțiunile de recuperare Windows, îngreunând restaurarea sistemului.
  wbadmin delete catalog -quiet – Comanda șterge informațiile despre backup-urile existente din Windows fără confirmare, împiedicând utilizatorii să restaureze sistemul din copii de rezervă.
• wevtutil cl Application – Comanda elimină logurile din jurnalul de evenimente „Application” al Windows-ului.
• eastus.cloudapp.azure[.]com – Domeniu utilizat de malware-ul PipeMagic pentru comunicarea cu serverul de comandă și control (C2).

Ce să faci

Actualizarea sistemelor cu patch-ul de securitate din 8 aprilie 2025 care remediază CVE-2025-29824.
Activarea protecției cloud în Microsoft Defender Antivirus (sau un produs echivalent) pentru a detecta rapid amenințările.

Implementarea mecanismelor de tip device discovery pentru a detecta echipamente și sisteme neînregistrate sau neadministrate în rețea și pentru a le include în procesele de monitorizare și protecție.
Activarea Endpoint Detection and Response (EDR) în modul de blocare, astfel încât Microsoft Defender for Endpoint să poată bloca artefactele dăunătoare, chiar dacă în același timp rulează alt utilitar antivirus care nu le detectează.

Activarea Automated Investigation and Remediation (AIR) din portalul Microsoft 365 Defender, în secțiunea Settings / Endpoints / Advanced features, pentru a permite un răspuns imediat la alerte și pentru a reduce volumul de incidente care necesită intervenție manuală.

Utilizarea Microsoft Defender Vulnerability Management pentru a evalua starea actuală și a implementa actualizările lipsă.

Activarea regulilor Attack Surface Reduction (ASR) din portalul Microsoft 365 Defender, accesând Settings / Endpoints / Attack surface reduction, pentru a bloca tehnici frecvent utilizate în atacurile de tip ransomware.

Concluzii

Actualizarea de securitate lansată de Microsoft abordează și o vulnerabilitate zero-day critică (CVE-2025-29824) exploatată activ în mediul real, ce permite escaladarea privilegiilor prin intermediul driverului CLFS.

Exploatarea acestei vulnerabilități oferă atacatorilor posibilitatea de a obține acces la nivel de sistem, facilitând injectarea de malware, exfiltrarea datelor și lansarea de atacuri de tip ransomware.

Aplicarea promptă a patch-ului, activarea funcțiilor de remediere automată și implementarea măsurilor avansate de protecție precum ASR sunt esențiale pentru prevenirea compromiterii sistemelor și reducerea suprafeței de atac în fața unor amenințări sofisticate precum cele asociate grupării Storm-2460.