Microsoft, CVE-2025-29824 olarak izlenen Windows Ortak Günlük Dosya Sisteminde (CLFS) sıfır gün güvenlik açığından yararlanan sofistike bir fidye yazılımı kampanyası ortaya çıkardı.
Güvenlik açığı, saldırganların ayrıcalıkları standart bir kullanıcı hesabından sistem düzeyine yükseltmesine ve uzlaşmış ortamlarda fidye yazılımlarının yaygın olarak konuşlandırılmasını sağlayana izin verir.
Sömürü detayları
Storm-2460 olarak bilinen tehdit oyuncusu tarafından konuşlandırılan istismar, başlangıç erişimini elde etmek için pipemagik kötü amaçlı yazılımları kullanır.
.png
)
Daha önce Kaspersky tarafından Ekim 2024’te belgelenen bu kötü amaçlı yazılım, 2023’te ESET tarafından gözlemlenen bir Win32k güvenlik açığı (CVE-2025-24983) için sıfır gün istismarı ile birlikte kullanılmıştır.
Saldırganlar, kötü niyetli bir MSBUILD dosyasını, tehlikeye atılmış meşru bir üçüncü taraf web sitesinden indirmek için Certutil yardımcı programından yararlanır ve bu da daha sonra Enumcalendarinfoa API geri çağrısı aracılığıyla pipemagik şifresini çözer ve yürütür.
Pipemagic konuşlandırıldıktan sonra, saldırganlar CLFS’yi bir dllhost.exe işleminden bellekte istismarını başlatır.
İstismar, CLFS çekirdek sürücüsünde bir güvenlik açığını hedefler ve NTQuerySystEMinformation API’sını kullanıcı moduna sızdırmak için API’yı kullanarak.
Ancak, bu istismar, belirli sistem bilgi sınıflarına kısıtlı erişim nedeniyle Windows 11, sürüm 24H2’de çalışmaz.
Daha sonra istismar, istismar sürecinin jetonunun üzerine yazmak için tüm ayrıcalıklar vererek ve sistem işlemlerine süreç enjeksiyonuna izin vermek için bellek bozulması ve RTLSetAllbits API’sını kullanır.
Bu sömürünün dikkate değer bir artefaktı, C: \ ProgramData \ skypdf \ pDudrv.blf adresinde bir CLFS BLF dosyasının oluşturulmasıdır.
Fidye yazılımı dağıtım
Başarılı bir sömürü takiben, saldırganlar winlogon.exe’ye bir yük enjekte eder ve daha sonra LSASS’ın belleğini dökmek için Sysinternals ProcDump.exe kullanır.
Bu, fidye yazılımlarının dağıtılmasına, dosyaların şifrelenmesine ve rastgele bir uzantının eklenmesine yol açar.
Bir fidye notu!Read_me_rexx2! .TXT, Ransomexx Ransomware ailesine bağlı iki.
Microsoft, CVE-2025-29824’ü ele almak için güvenlik güncellemelerini yayınladı. Windows 11, sürüm 24H2 çalıştıran müşteriler bu istismardan etkilenmez.
Microsoft, bu güncellemeleri derhal uygulamanızı ve birkaç azaltma stratejisinin uygulanmasını önerir:
- Hızla gelişen saldırgan araçlarını kapsayacak şekilde Microsoft Defender antivirüs veya eşdeğer ürünlerde bulut tarafından teslim edilen korumayı etkinleştirin.
- Endpoint için Microsoft Defender’ı tanımlamak ve yerleşik olmayan cihazları tanımlamak için cihaz keşfini kullanın.
- Terciz sonrası kötü amaçlı artefaktları düzeltmek için blok modunda uç nokta algılama ve yanıtı (EDR) çalıştırın.
- Uyarı hacmini azaltmak ve kaçırılan güncellemeleri dağıtmak için tam otomatik modda araştırmayı ve iyileştirmeyi etkinleştirin.
Bu kampanya, sıfır gün güvenlik açıklarından yararlanan sofistike fidye yazılımı saldırılarına karşı savunmak için zamanında yama ve sağlam güvenlik önlemlerinin öneminin altını çiziyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!