В апреле 2025 года Microsoft исправила 121 уязвимость в своих продуктах. Среди них была CVE-2025-29824 — единственная из исправленных уязвимостей, которая, по данным компании, на тот момент уже активно использовалась злоумышленниками в реальных атаках. Эксплоит к этой уязвимости был внедрен вредоносным ПО PipeMagic. Она позволяла повышать привилегии в ОС Windows из-за ошибки в драйвере логирования clfs.sys. Аналитики Microsoft Threat Intelligence обнаружили эту уязвимость в ходе атак группировки Storm-2460 на компании, находящиеся в Саудовской Аравии, Испании, Венесуэле и США. С помощью CVE-2025-29824 атакующие повышали привилегии до NT AUTHORITY\SYSTEM для последующего бокового перемещения и шифрования файлов жертвы.
Эта статья — результат совместного исследования «Лаборатории Касперского» и BI.ZONE, в рамках которого специалисты «Лаборатории Касперского» проследили развитие PipeMagic — от первого обнаружения в 2022 году до новых инцидентов в 2025 году — и выявили ключевые изменения в тактиках операторов этого ПО. Эксперты BI.ZONE, в свою очередь, провели технический анализ самой уязвимости CVE-2025-29824.
Читать