Microsoft a emis, în cadrul actualizării „Patch Tuesday” din aprilie 2025, un set de peste 120 de corecții de securitate pentru produsele sale software. Dintre acestea, una iese în evidență prin gravitate: vulnerabilitatea zero-day CVE-2025-29824, exploatată activ înainte de lansarea patch-ului și cu impact direct asupra securității sistemelor Windows.
Ce este CVE-2025-29824?
Această vulnerabilitate afectează driverul Common Log File System (CLFS) și permite escaladarea privilegiilor pentru un atacator care deja are acces la un sistem vulnerabil. Exploatarea cu succes îi oferă atacatorului acces la nivel de sistem, permițând:
- rularea de cod arbitrar,
- instalarea de programe malițioase,
- modificarea configurației sistemului,
- accesarea și exfiltrarea datelor sensibile.
Cum funcționează atacul?
Microsoft a identificat activități specifice unei grupări avansate, denumită Storm-2460, care a folosit malware-ul PipeMagic descărcat de pe site-uri compromise. Printr-un lanț complex de exploatare, atacatorii folosesc:
- funcția NtQuerySystemInformation pentru a extrage adrese din kernel,
- funcția RtlSetAllBits pentru a modifica token-ul de securitate al unui proces,
- exe ca vector de injectare de cod malițios,
- și un fișier .blf (creat în C:\ProgramData\SkyPDF) pentru a facilita compromiterea.
Comenzi periculoase detectate în atac includ dezactivarea opțiunilor de recuperare Windows (bcdedit /set {default} recoveryenabled no), ștergerea backup-urilor (wbadmin delete catalog -quiet) și curățarea logurilor (wevtutil cl Application), acțiuni tipice atacurilor ransomware.
Cine este expus?
Orice sistem Windows neactualizat care rulează versiuni vulnerabile este o țintă. Deși accesul inițial nu este complet clarificat, atacul necesită doar un prim pas de infiltrare pentru a escalada apoi privilegiile la cel mai înalt nivel – o amenințare serioasă pentru orice rețea, site sau server nesecurizat.
Recomandări pentru dezvoltatori și administratori web
- Actualizați imediat sistemele Windows cu patch-ul din 8 aprilie 2025.
- Activați protecțiile cloud din soluțiile antivirus (ex. Microsoft Defender).
- Folosirea EDR (Endpoint Detection and Response) în mod blocant pentru detecția și oprirea activă a atacurilor.
- Activați AIR (Automated Investigation and Remediation) în portalul Microsoft Defender 365 pentru a automatiza răspunsul la incidente.
- Implementați reguli ASR (Attack Surface Reduction) pentru a limita tehnicile uzuale folosite de malware.
- Detectați echipamentele neadministrate din rețea și includeți-le în infrastructura de protecție.
Vulnerabilitatea zero-day critică în Windows afectează sistemele neactualizate
CVE-2025-29824 nu este doar o vulnerabilitate tehnică, ci o breșă cu potențial distructiv real, folosită deja în atacuri complexe. Dacă administrați website-uri sau infrastructuri IT, ignorați această alertă pe propria răspundere. Patch-ul de securitate este disponibil – aplicați-l imediat.
Detaliile complete ale alertei, direct de la Directoratul Național de Securitate Cibernetică (DNSC), pot fi consultate aici: ALERTĂ CVE-2025-29824 – DNSC
Foto: Freepik
