Den april 8, 2025, Microsoft udgav sine månedlige sikkerhedsopdateringer, adressering i alt 121 sårbarheder på tværs af forskellige produkter.
Blandt disse, CVE-2025-29824, en zero-day sårbarhed i Windows Common Log File System (CLFS) Chauffør, har været aktivt udnyttet i ransomware-angreb.
CVE-2025-29824 Oversigt
CVE-2025-29824 er en forhøjelse af privilegier (EoP) sårbarhed i CLFS-driveren, en komponent, der er ansvarlig for styring af system- og applikationshændelseslogfiler. Denne fejl gør det muligt for angribere, der allerede har fået indledende adgang til et system, at eskalere deres privilegier til SYSTEM-niveauet, derved opnår fuld kontrol over den kompromitterede maskine.
Sårbarheden stammer fra en brug-efter-fri tilstand i CLFS-driveren, som kan udnyttes til at udføre vilkårlig kode med forhøjede rettigheder. Det er bemærkelsesværdigt, at dette er den sjette EoP-sårbarhed i CLFS-komponenten, der udnyttes i naturen siden 2022, fremvisning af et tilbagevendende mål for angribere.
Aktiv udnyttelse og implementering af ransomware
Microsoft har observeret aktiv udnyttelse af CVE-2025-29824 i ransomware-kampagner. Microsoft Threat Intelligence Center (MSTIC) identificeret, at sårbarheden er blevet udnyttet af en trusselgruppe, betegnet som Storm-2460, at implementere ransomware kendt som PipeMagic. Berørte regioner omfatter USA, Spanien, Venezuela, og Saudi-Arabien.
Patch tilgængelighed og anbefalinger
Microsoft har udgivet patches til de fleste berørte systemer som en del af april 2025 Patch tirsdag opdateringer. Men, opdateringer til Windows 10 (både 32-bit og x64-baserede systemer) afventer frigivelse. Microsoft har udtalt, at disse opdateringer vil blive gjort tilgængelige så hurtigt som muligt og vil give kunderne besked herom.
Organisationer, der bruger Windows 10 skal gennemføre følgende foranstaltninger:
- Overvåg systemer: Brug slutpunktsdetektion og -respons (EDR) værktøjer til at overvåge for usædvanlige aktiviteter relateret til CLFS-driveren.
- Begræns privilegier: Begræns brugerrettigheder til det minimum, der er nødvendigt for at reducere den potentielle virkning af udnyttelse.
- Netværkssegmentering: Segmenter netværk for at forhindre lateral bevægelse af angribere.
- Regelmæssige sikkerhedskopier: Sørg for, at kritiske data jævnligt sikkerhedskopieres, og at sikkerhedskopier opbevares sikkert offline.
Mens Microsoft har udgivet rettelser til de fleste understøttede systemer, organisationer, der er afhængige af berørte versioner af Windows 10 bør være forsigtige. Overvåg nøje Microsofts opdateringskanaler og sikkerhedsrådgivninger for frigivelse af afventende programrettelser.
I mellemtiden, It-teams bør styrke deres forsvarsstrategier ved at implementere kompenserende kontroller, såsom begrænsning af administrative rettigheder, forbedring af endepunktsdetektionsmuligheder, og isolering af højrisikosystemer. Desuden, træning i brugerbevidsthed omkring phishing og ondsindede downloads kan hjælpe med at forhindre indledende adgang, der kan føre til privilegieeskalering via denne sårbarhed.
At være informeret og forberedt vil sikre, at når det fulde plastersæt bliver tilgængeligt, det kan implementeres hurtigt og effektivt, lukker mulighederne for angribere, der udnytter denne nul-dages fejl.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: