Em abril 8, 2025, A Microsoft lançou suas atualizações mensais de segurança, abordando um total de 121 vulnerabilidades em vários produtos.
Entre estes, CVE-2025-29824, uma vulnerabilidade zero-day no Sistema de Arquivos de Log Comum do Windows (CLFS) Motorista, foi explorado ativamente em ataques de ransomware.
Visão geral do CVE-2025-29824
CVE-2025-29824 é uma elevação de privilégio (EoP) vulnerabilidade no driver CLFS, um componente responsável por gerenciar logs de eventos do sistema e do aplicativo. Essa falha permite que invasores que já obtiveram acesso inicial a um sistema aumentem seus privilégios para o nível SISTEMA, obtendo assim controle total sobre a máquina comprometida.
A vulnerabilidade decorre de uma condição de uso após liberação no driver CLFS, que pode ser explorado para executar código arbitrário com privilégios elevados. É importante ressaltar que esta é a sexta vulnerabilidade EoP no componente CLFS explorada na prática desde 2022, apresentando um alvo recorrente para os atacantes.
Exploração Ativa e Implantação de Ransomware
A Microsoft observou exploração ativa do CVE-2025-29824 em campanhas de ransomware. Centro de Inteligência de Ameaças da Microsoft (MSTIC) identificou que a vulnerabilidade foi aproveitada por um grupo de ameaças, designada como Storm-2460, para implantar o ransomware conhecido como PipeMagic. As regiões afetadas incluem os Estados Unidos, Espanha, Venezuela, e Arábia Saudita.
Disponibilidade e recomendações de patches
A Microsoft lançou patches para a maioria dos sistemas afetados como parte da atualização de abril 2025 Atualizações do Patch Tuesday. Contudo, atualizações para Windows 10 (sistemas baseados em 32 bits e x64) estão pendentes de liberação. A Microsoft declarou que essas atualizações serão disponibilizadas o mais rápido possível e notificará os clientes adequadamente.
Organizações que usam o Windows 10 deve implementar as seguintes medidas:
- Sistemas de monitoramento: Utilize detecção e resposta de endpoint (EDR) ferramentas para monitorar atividades incomuns relacionadas ao driver CLFS.
- Restringir privilégios: Limitar os privilégios do usuário ao mínimo necessário para reduzir o impacto potencial da exploração.
- Segmentação de rede: Segmente redes para evitar movimentos laterais de invasores.
- Backups regulares: Garanta que os dados críticos sejam copiados regularmente e que os backups sejam armazenados com segurança offline..
Embora a Microsoft tenha lançado correções para a maioria dos sistemas suportados, organizações que dependem de versões afetadas do Windows 10 deve ser cauteloso. Monitore de perto os canais de atualização e os avisos de segurança da Microsoft para o lançamento de patches pendentes.
Enquanto isso, As equipes de TI devem reforçar suas estratégias de defesa implementando controles compensatórios, como limitar privilégios administrativos, aprimorando os recursos de detecção de endpoint, e isolar sistemas de alto risco. além do que, além do mais, o treinamento de conscientização do usuário sobre phishing e downloads maliciosos pode ajudar a prevenir o acesso inicial que pode levar à escalada de privilégios por meio dessa vulnerabilidade.
Estar informado e preparado garantirá que quando o conjunto completo de patches estiver disponível, pode ser implantado de forma rápida e eficaz, fechando a janela de oportunidade para invasores que aproveitam essa falha de dia zero.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: