Microsoft waarschuwt voor ransomware-aanvallen die gebruikmaken van CVE-2025-29824 Zero-Day

In april 8, 2025, Microsoft heeft zijn maandelijkse beveiligingsupdates uitgebracht, adresseren in totaal 121 kwetsbaarheden in verschillende producten.

Onder deze, CVE-2025-29824, een zero-day kwetsbaarheid in het Windows Common Log File System (CLFS) Bestuurder, is geweest actief uitgebuit bij ransomware-aanvallen.

CVE-2025-29824 Overzicht

CVE-2025-29824 is een verhoging van privileges (EoP) kwetsbaarheid binnen de CLFS-driver, een component die verantwoordelijk is voor het beheer van systeem- en applicatiegebeurtenislogboeken. Deze fout maakt het mogelijk dat aanvallers die al een eerste toegang tot een systeem hebben verkregen, hun rechten kunnen uitbreiden naar het SYSTEM-niveau, waardoor volledige controle over de gecompromitteerde machine wordt verkregen.

De kwetsbaarheid is het gevolg van een use-after-free-conditie in de CLFS-driver, die kan worden uitgebuit om willekeurige code uit te voeren met verhoogde privileges. Het is opmerkelijk dat dit de zesde EoP-kwetsbaarheid in het CLFS-component is die in het wild wordt uitgebuit sinds 2022, een terugkerend doelwit voor aanvallers laten zien.

Actieve exploitatie en implementatie van ransomware

Microsoft heeft actieve exploitatie van CVE-2025-29824 waargenomen in ransomware-campagnes. Het Microsoft Threat Intelligence Center (MSTIC) vastgesteld dat de kwetsbaarheid is misbruikt door een dreigingsgroep, aangewezen als Storm-2460, om ransomware genaamd PipeMagic te implementeren. Tot de getroffen regio's behoren de Verenigde Staten, Spanje, Venezuela, en Saoedi-Arabië.

Beschikbaarheid en aanbevelingen van patches

Microsoft heeft patches uitgebracht voor de meeste getroffen systemen als onderdeel van de april-update. 2025 Patch Tuesday-updates. Echter, updates voor Windows 10 (zowel 32-bits als x64-gebaseerde systemen) zijn in afwachting van vrijlating. Microsoft heeft verklaard dat deze updates zo snel mogelijk beschikbaar zullen worden gesteld en zal klanten hierover informeren..

Organisaties die Windows gebruiken 10 de volgende maatregelen moeten implementeren:

• Monitorsystemen: Gebruik Endpoint Detection and Response (EDR) hulpmiddelen om te controleren op ongebruikelijke activiteiten met betrekking tot de CLFS-driver.
• Beperk privileges: Beperk gebruikersrechten tot het minimum dat nodig is om de potentiële impact van misbruik te verminderen.
• Netwerksegmentatie: Segmenteer netwerken om laterale verplaatsing door aanvallers te voorkomen.
• Regelmatige back-ups: Zorg ervoor dat kritieke gegevens regelmatig worden geback-upt en dat back-ups veilig offline worden opgeslagen.

Hoewel Microsoft oplossingen heeft uitgebracht voor de meeste ondersteunde systemen, organisaties die afhankelijk zijn van de getroffen versies van Windows 10 voorzichtig zijn. Houd de updatekanalen en beveiligingsadviezen van Microsoft nauwlettend in de gaten voor de release van patches die binnenkort beschikbaar zijn..

In de tussentijd, IT-teams moeten hun verdedigingsstrategieën versterken door compenserende controles te implementeren, zoals het beperken van administratieve privileges, het verbeteren van de mogelijkheden voor eindpuntdetectie, en het isoleren van systemen met een hoog risico. Bovendien, Een training in gebruikersbewustzijn rond phishing en kwaadaardige downloads kan helpen bij het voorkomen van initiële toegang die kan leiden tot privilege-escalatie via deze kwetsbaarheid.

Goed geïnformeerd en voorbereid zijn zorgt ervoor dat wanneer de volledige patchset beschikbaar komt, het kan snel en effectief worden ingezet, het sluiten van het venster van mogelijkheden voor aanvallers die misbruik maken van deze zero-day-fout.