微软披露，一个现已修复的影响Windows通用日志文件系统（CLFS）的安全漏洞曾被作为零日漏洞用于针对少数目标的勒索软件攻击中。

攻击目标与漏洞详情

这家科技巨头表示："受害者包括美国信息技术（IT）和房地产行业组织、委内瑞拉金融行业企业、一家西班牙软件公司以及沙特阿拉伯零售行业机构。"相关漏洞编号为CVE-2025-29824，是CLFS中的一个权限提升漏洞，攻击者可利用该漏洞获取SYSTEM权限。微软已在2025年4月的补丁星期二更新中修复该漏洞。

微软将CVE-2025-29824漏洞的利用活动追踪命名为Storm-2460，攻击者还使用名为PipeMagic的恶意软件来投递漏洞利用程序及勒索软件载荷。

攻击手法分析

目前尚不清楚攻击者使用的初始入侵途径。但安全人员观察到攻击者使用certutil工具从先前已被入侵的合法第三方网站下载恶意软件以投放载荷。该恶意软件是一个包含加密载荷的恶意MSBuild文件，解密后会启动PipeMagic——这是一个基于插件的木马程序，自2022年起就已在野外被发现。

值得注意的是，CVE-2025-29824是继CVE-2025-24983之后第二个通过PipeMagic传播的Windows零日漏洞。CVE-2025-24983是Windows Win32内核子系统的权限提升漏洞，上月由ESET报告并被微软修复。此前，PipeMagic还曾与利用另一个CLFS零日漏洞（CVE-2023-28252）的Nokoyawa勒索软件攻击有关联。

卡巴斯基在2023年4月指出："在我们归因于同一攻击者的其他攻击中，还观察到在利用CLFS权限提升漏洞前，受害机器已感染了通过MSBuild脚本启动的定制模块化后门程序'PipeMagic'。"

技术细节与影响范围

需要特别注意的是，Windows 11 24H2版本不受此特定漏洞利用影响，因为该版本限制了NtQuerySystemInformation中某些系统信息类的访问权限，仅授予具有SeDebugPrivilege的用户（通常只有管理员级别用户才能获取）。

微软威胁情报团队解释称："该漏洞利用针对CLFS内核驱动程序中的漏洞。攻击者随后利用内存损坏和RtlSetAllBits API将漏洞利用进程的令牌覆盖为0xFFFFFFFF值，从而为进程启用所有权限，使其能够注入SYSTEM进程。"

攻击后续行为

成功利用漏洞后，攻击者会通过转储LSASS内存来提取用户凭证，并使用随机扩展名加密系统文件。微软表示未能获取勒索软件样本进行分析，但指出加密后留下的勒索说明中包含与RansomEXX勒索软件家族相关的TOR域名。

微软强调："勒索软件攻击者非常重视入侵后的权限提升漏洞利用，因为这能帮助他们将初始访问权限（包括从普通恶意软件分销商处获得的权限）提升为特权访问。随后他们会利用特权访问权限在环境中广泛部署和引爆勒索软件。"

参考来源：

PipeMagic Trojan Exploits Windows Zero-Day Vulnerability to Deploy Ransomware