Microsoft advierte sobre ataques de ransomware que explotan la vulnerabilidad de día cero CVE-2025-29824

En abril 8, 2025, Microsoft lanzó sus actualizaciones de seguridad mensuales, abordar un total de 121 vulnerabilidades en varios productos.

Entre estos, CVE-2025-29824, un vulnerabilidad de día cero en el sistema de archivos de registro común de Windows (CLFS) Conductor, ha sido explotado activamente en ataques de ransomware.

Descripción general de CVE-2025-29824

CVE-2025-29824 es una elevación de privilegios (EoP) vulnerabilidad dentro del controlador CLFS, un componente responsable de administrar los registros de eventos del sistema y de la aplicación. Esta falla permite a los atacantes que ya obtuvieron acceso inicial a un sistema escalar sus privilegios al nivel de SISTEMA., obteniendo así el control total sobre la máquina comprometida.

La vulnerabilidad se origina en una condición de uso después de la liberación en el controlador CLFS, que puede explotarse para ejecutar código arbitrario con privilegios elevados. Cabe destacar que esta es la sexta vulnerabilidad de EoP en el componente CLFS explotada en la naturaleza desde 2022, mostrando un objetivo recurrente para los atacantes.

Explotación activa y despliegue de ransomware

Microsoft ha observado la explotación activa de CVE-2025-29824 en campañas de ransomware. El Centro de inteligencia de amenazas de Microsoft (MSTIC) Se identificó que la vulnerabilidad ha sido aprovechada por un grupo de amenazas., designado como Tormenta-2460, para implementar ransomware conocido como PipeMagic. Las regiones afectadas incluyen Estados Unidos, España, Venezuela, y Arabia Saudita.

Disponibilidad de parches y recomendaciones

Microsoft ha lanzado parches para la mayoría de los sistemas afectados como parte del programa de abril. 2025 Actualizaciones del martes de parches. Sin embargo, actualizaciones para Windows 10 (sistemas de 32 bits y basados en x64) están pendientes de liberación. Microsoft ha declarado que estas actualizaciones estarán disponibles lo antes posible y notificará a los clientes en consecuencia..

Organizaciones que utilizan Windows 10 Deberían implementarse las siguientes medidas:

• Sistemas de monitorización: Utilice la detección y respuesta de puntos finales (EDR) herramientas para monitorear actividades inusuales relacionadas con el controlador CLFS.
• Restringir privilegios: Limite los privilegios de usuario al mínimo necesario para reducir el impacto potencial de la explotación.
• Segmentación de red: Segmentar redes para evitar el movimiento lateral de los atacantes.
• Copias de seguridad periódicas: Asegúrese de que los datos críticos se respalden periódicamente y que las copias de seguridad se almacenen de forma segura fuera de línea..

Si bien Microsoft ha publicado correcciones para la mayoría de los sistemas compatibles, organizaciones que dependen de versiones afectadas de Windows 10 Deberíamos ser cautelosos. Supervise de cerca los canales de actualización y los avisos de seguridad de Microsoft para el lanzamiento de parches pendientes..

Mientras tanto, Los equipos de TI deben reforzar sus estrategias de defensa implementando controles compensatorios, como limitar los privilegios administrativos, Mejorar las capacidades de detección de puntos finales, y aislar los sistemas de alto riesgo. Adicionalmente, La capacitación de concientización del usuario sobre el phishing y las descargas maliciosas puede ayudar a prevenir el acceso inicial que puede conducir a una escalada de privilegios a través de esta vulnerabilidad..

Estar informado y preparado garantizará que cuando el conjunto completo de parches esté disponible, Se puede implementar con rapidez y eficacia., cerrando la ventana de oportunidad para que los atacantes aprovechen esta falla de día cero.