Microsoft ha revelado que una falla de seguridad ahora parada que afecta el sistema de archivos de registro común de Windows (CLFS) fue explotado como un día cero en ataques de ransomware dirigidos a un pequeño número de objetivos.
«Los objetivos incluyen organizaciones en la tecnología de la información (TI) y los sectores inmobiliarios de los Estados Unidos, el sector financiero en Venezuela, una compañía de software española y el sector minorista en Arabia Saudita», dijo el gigante tecnológico.
La vulnerabilidad en cuestión es CVE-2025-29824, un error de escalada de privilegios en CLF que podría explotarse para lograr los privilegios del sistema. Fue arreglado por Redmond como parte de su actualización del martes de parche para abril de 2025.
Microsoft está rastreando la actividad y la explotación posterior a la compromiso de CVE-2025-29824 bajo el apodo de tormenta-2460, con los actores de amenaza que también aprovechan un malware llamado Pipemagic para entregar la exploit y las cargas útiles de ransomware.
El vector de acceso inicial exacto utilizado en los ataques no se conoce actualmente. Sin embargo, los actores de amenaza se han observado utilizando la utilidad de certutil para descargar malware de un sitio legítimo de terceros que anteriormente estaba comprometido para organizar las cargas útiles.
El malware es un archivo MSBuild malicioso que contiene una carga útil cifrada, que luego se desempaqueta para lanzar Pipemagic, un troyano basado en complementos que se ha detectado en la naturaleza desde 2022.
Vale la pena mencionar aquí que CVE-2025-29824 es el segundo defecto de día cero de Windows que se entregará a través de Pipemagic después de CVE-2025-24983, un error de escalada de privilegio del subsistema de kernel Windows Win32, que fue marcado por Eset y parcheado por Microsoft el mes pasado.
Anteriormente, Pipemagic también se observó en relación con los ataques de ransomware Nokoyawa que explotaron otro defecto de día cero de CLFS (CVE-2023-28252).
«En algunos de los otros ataques que atribuimos al mismo actor, también observamos que, antes de explotar la vulnerabilidad de la elevación de privilegio de CLFS, las máquinas de la víctima se infectaron con una puerta trasera modular llamada ‘Pipemagic’ que se lanza a través de un guión de MSBuild», señaló Kaspersky en abril de 2023.
Es crucial tener en cuenta que Windows 11, versión 24H2, no se ve afectado por esta explotación específica, ya que el acceso a ciertas clases de información del sistema dentro de NtquerySystemInformation está restringido a los usuarios con SedebugPrivilege, que generalmente solo los usuarios de administrador pueden obtener.
«El exploit se dirige a una vulnerabilidad en el controlador del núcleo CLFS», explicó el equipo de inteligencia de amenazas de Microsoft. «El exploit utiliza una corrupción de memoria y la API RTLSetAllBits para sobrescribir el token del proceso de exploit con el valor 0xffffffffff, permitiendo todos los privilegios para el proceso, lo que permite la inyección del proceso en procesos del sistema».
La explotación exitosa es seguida por el actor de amenaza que extrae las credenciales de los usuarios al descargar la memoria de LSASS y encriptar archivos en el sistema con una extensión aleatoria.
Microsoft dijo que no pudo obtener una muestra de ransomware para el análisis, pero dijo que la nota de rescate disminuyó después del cifrado incluía un dominio TOR vinculado a la familia de ransomware RansomExx.
«Los actores de amenaza de ransomware valoran la elevación de los exploits de la elevación de privilegios porque estos podrían permitirles escalar el acceso inicial, incluidas las transferencias de distribuidores de malware de productos básicos, al acceso privilegiado», dijo Microsoft. «Luego usan acceso privilegiado para la implementación generalizada y la detonación de ransomware dentro de un entorno».