管道魔法木马利用 Windows 零日漏洞部署勒索软件

微软披露，管道一个现已修复的魔法木马影响Windows通用日志文件系统（CLFS）的安全漏洞曾被作为零日漏洞用于针对少数目标的勒索软件攻击中。

攻击目标与漏洞详情

这家科技巨头表示："受害者包括美国信息技术（IT）和房地产行业组织、利用s零委内瑞拉金融行业企业、日漏一家西班牙软件公司以及沙特阿拉伯零售行业机构。洞部"相关漏洞编号为CVE-2025-29824，署勒索软是管道CLFS中的一个权限提升漏洞，攻击者可利用该漏洞获取SYSTEM权限。魔法木马微软已在2025年4月的利用s零补丁星期二更新中修复该漏洞。

微软将CVE-2025-29824漏洞的日漏利用活动追踪命名为Storm-2460，攻击者还使用名为PipeMagic的洞部恶意软件来投递漏洞利用程序及勒索软件载荷。

攻击手法分析

目前尚不清楚攻击者使用的署勒索软初始入侵途径。但安全人员观察到攻击者使用certutil工具从先前已被入侵的管道合法第三方网站下载恶意软件以投放载荷。该恶意软件是魔法木马一个包含加密载荷的恶意MSBuild文件，云服务器解密后会启动PipeMagic——这是利用s零一个基于插件的木马程序，自2022年起就已在野外被发现。

值得注意的是，CVE-2025-29824是继CVE-2025-24983之后第二个通过PipeMagic传播的Windows零日漏洞。CVE-2025-24983是Windows Win32内核子系统的权限提升漏洞，上月由ESET报告并被微软修复。此前，PipeMagic还曾与利用另一个CLFS零日漏洞（CVE-2023-28252）的Nokoyawa勒索软件攻击有关联。

卡巴斯基在2023年4月指出："在我们归因于同一攻击者的其他攻击中，还观察到在利用CLFS权限提升漏洞前，受害机器已感染了通过MSBuild脚本启动的定制模块化后门程序PipeMagic。"

技术细节与影响范围

需要特别注意的是，WordPress模板Windows 11 24H2版本不受此特定漏洞利用影响，因为该版本限制了NtQuerySystemInformation中某些系统信息类的访问权限，仅授予具有SeDebugPrivilege的用户（通常只有管理员级别用户才能获取）。

微软威胁情报团队解释称："该漏洞利用针对CLFS内核驱动程序中的漏洞。攻击者随后利用内存损坏和RtlSetAllBits API将漏洞利用进程的令牌覆盖为0xFFFFFFFF值，从而为进程启用所有权限，使其能够注入SYSTEM进程。"

攻击后续行为

成功利用漏洞后，攻击者会通过转储LSASS内存来提取用户凭证，并使用随机扩展名加密系统文件。微软表示未能获取勒索软件样本进行分析，但指出加密后留下的勒索说明中包含与RansomEXX勒索软件家族相关的TOR域名。

微软强调："勒索软件攻击者非常重视入侵后的权限提升漏洞利用，因为这能帮助他们将初始访问权限（包括从普通恶意软件分销商处获得的权限）提升为特权访问。随后他们会利用特权访问权限在环境中广泛部署和引爆勒索软件。"