Microsoft, Windows Ortak Günlük Dosyası Sistemini (CLFS) etkileyen şimdi paketlenmiş bir güvenlik kusurunun, az sayıda hedefe yönelik fidye yazılımı saldırılarında sıfır gün olarak kullanıldığını ortaya koydu.
“Hedefler, bilgi teknolojisindeki kuruluşları (BT) ve ABD’nin emlak sektörleri, bir İspanyol yazılım şirketi olan Venezuela’daki finans sektörü ve Suudi Arabistan’daki perakende sektörü içeriyor.” Dedi.
Söz konusu güvenlik açığı, CLF’lerde sistem ayrıcalıklarına ulaşmak için kullanılabilecek bir ayrıcalık artış hatası olan CVE-2025-29824’tür. Redmond tarafından Nisan 2025 için Salı günkü güncellemesinin bir parçası olarak sabitlendi.
Microsoft, Moniker Storm-2460 altında CVE-2025-29824’ün aktivitesini ve zorunluluk sonrası sömürüsünü izliyor ve tehdit aktörleri, istismar ve fidye yazılımı yüklerini teslim etmek için Pipemagic adlı bir kötü amaçlı yazılımdan yararlanıyor.
Saldırılarda kullanılan tam başlangıç erişim vektörü şu anda bilinmemektedir. Bununla birlikte, tehdit aktörleri, daha önce yükleri sahneye çıkarmak için tehlikeye atılan meşru bir üçüncü taraf siteden kötü amaçlı yazılım indirmek için Cerutil yardımcı programı kullanılarak gözlemlenmiştir.
Kötü amaçlı yazılım, 2022’den beri vahşi doğada tespit edilen eklenti tabanlı bir Truva atı olan Pipemagic’i piyasaya sürmek için açılan şifreli bir yük içeren kötü amaçlı bir msBuild dosyasıdır.
Burada, CVE-2025-29824’ün, Pipemagik yoluyla teslim edilecek ikinci pencereler sıfır gün kusuru olduğunu, ESET tarafından işaretlenen ve geçen ay Microsoft tarafından düzenlenen bir Windows Win32 çekirdek alt sistemi ayrıcalığı artış hatası.
Daha önce, başka bir CLFS sıfır günü kusurunu (CVE-2023-28252) sömüren Nokoyawa fidye yazılımı saldırıları ile bağlantılı olarak pipemagik de gözlenmiştir.
“Aynı aktöre atfettiğimiz diğer bazı saldırılarda, CLFS’nin hazırlıklı güvenlik açığından yararlanmadan önce, kurbanın makinelerine MSBuild senaryosu aracılığıyla piyasaya sürülen özel bir modüler arka kapı ile enfekte olduğunu gözlemledik.”
NTQuerySystEMinformation içindeki belirli sistem bilgi sınıflarına erişim, tipik olarak yalnızca yönetici benzeri kullanıcıların elde edebileceği SedebugPrivilege’li kullanıcılarla sınırlı olduğundan, Windows 11, sürüm 24H2’nin bu özel sömürüden etkilenmediğini belirtmek çok önemlidir.
Microsoft Tehdit İstihbarat Ekibi, “İstismar CLFS çekirdek sürücüsünde bir güvenlik açığını hedefliyor.” “Daha sonra istismar, istismar sürecinin jetonunu 0xffffffff değeri ile üzerine yazmak için bir bellek bozulması ve RTLSetAllbits API’sını kullanır ve işlem için işlem enjeksiyonuna izin veren tüm ayrıcalıkları sağlar.”
Başarılı sömürü, LSASS’ın belleğini boşaltarak ve sistemdeki dosyaları rastgele bir uzantılı olarak şifreleyerek kullanıcı kimlik bilgilerini çıkaran tehdit oyuncusu izler.
Microsoft, analiz için bir fidye yazılımı örneği alamadığını, ancak şifrelemeden sonra düşen fidye notunun Ransomexx fidye yazılımı ailesine bağlı bir TOR alanı içerdiğini söyledi.
Microsoft, “Fidye yazılımı tehdidi aktörleri, ayrıcalık istismarlarının gelişim sonrası yükselmesine değer veriyor, çünkü bunlar emtia kötü amaçlı yazılım distribütörlerinden elde edilen ilk erişimi ayrıcalıklı erişime yükseltmelerini sağlayabilir.” Dedi. “Daha sonra bir ortamda fidye yazılımlarının yaygın olarak dağıtılması ve patlaması için ayrıcalıklı erişim kullanıyorlar.”