Uma nova campanha de ataques cibernéticos chamou atenção da Microsoft após a detecção do uso de uma falha zero-day no sistema Windows para disseminação de ransomware por meio do trojan PipeMagic. A vulnerabilidade, identificada como CVE-2025-29824, afeta diretamente o Common Log File System (CLFS) e já foi corrigida na atualização de segurança lançada em abril de 2025.
Ataques direcionados usam falha no Windows para espalhar ransomware com PipeMagic
Segundo a Microsoft, os alvos da campanha incluem empresas de setores críticos como tecnologia da informação e imóveis nos Estados Unidos, instituições financeiras na Venezuela, uma desenvolvedora de software da Espanha e redes de varejo na Arábia Saudita. O ataque foi sofisticado e altamente seletivo.
Vulnerabilidade crítica no CLFS
A falha CVE-2025-29824 permite a elevação de privilégios, possibilitando que invasores obtenham acesso ao nível de SISTEMA. Após a exploração, os criminosos utilizam técnicas avançadas para comprometer os sistemas-alvo, incluindo o uso do trojan modular PipeMagic, um malware ativo desde 2022.
O grupo de ameaça rastreado sob o nome Storm-2460 é associado à disseminação desse exploit. Eles utilizam um arquivo malicioso construído com MSBuild, que carrega o PipeMagic a partir de cargas criptografadas hospedadas em sites comprometidos.
Evolução do PipeMagic e novos vetores
Esta não é a primeira vez que o PipeMagic é associado a ataques que exploram falhas críticas no CLFS. Anteriormente, o malware foi vinculado ao ransomware Nokoyawa, que se aproveitou da vulnerabilidade CVE-2023-28252. Em 2025, o PipeMagic voltou a ser utilizado em conjunto com a falha CVE-2025-24983, reforçando sua presença constante em campanhas de ransomware de alto impacto.
O vetor inicial de acesso ainda não foi totalmente identificado, mas investigações indicam o uso da ferramenta certutil para baixar arquivos maliciosos, o que mostra uma evolução nas táticas de invasores.
Notícias Relacionadas
Segurança cibernética
Ataques com malware de criptomoeda se espalham por softwares falsos no SourceForge
Cibercriminosos usam páginas falsas no SourceForge para espalhar malwares de criptomoeda disfarçados de softwares crackeados, atingindo principalmente usuários russos.
Segurança digital
Ataques Mirai visam DVR TVT e ampliam rede de bots
Nova botnet baseada no Mirai está explorando uma vulnerabilidade nos DVRs TVT NVMS9000, visando transformar os dispositivos em nós para ataques DDoS, proxies maliciosos e mineração. Alvo principal inclui EUA e Europa.
Exploração técnica e impacto
O exploit direcionado à falha no driver do kernel CLFS permite corromper a memória por meio da função RtlSetAllBits, sobrescrevendo o token do processo com o valor 0xFFFFFFFF. Isso garante ao processo malicioso todos os privilégios possíveis, permitindo que ele injete código em processos do sistema e execute ações com privilégios administrativos.
Após a exploração bem-sucedida, os invasores conseguem extrair credenciais do LSASS, criptografar arquivos e deixar uma nota de resgate com um link TOR, sugerindo associação ao ransomware RansomEXX.
Mitigação e proteção
Apesar da gravidade, a versão Windows 11 24H2 não é afetada diretamente, devido a novas restrições no acesso a classes de informações do sistema que exigem o privilégio SeDebugPrivilege, geralmente disponível apenas para administradores.
A Microsoft alerta que ataques que utilizam falhas de elevação de privilégios são cada vez mais comuns, uma vez que eles permitem aos invasores escalar o acesso e instalar ransomware em larga escala, mesmo após comprometimentos iniciais limitados.
Organizações devem aplicar imediatamente as atualizações de segurança mais recentes, revisar políticas de privilégio de usuários e reforçar medidas de monitoramento proativo de ameaças para evitar novas explorações.
