ALERTĂ DE SECURITATE: Vulnerabilitate critică zero-day în Windows. CVE-2025-29824, exploatată activ de grupări cibernetice

Microsoft publică un patch de urgență pentru o defecțiune severă din sistemul de operare. Atacatorii pot obține control total asupra sistemului afectat

CVE-2025-29824 este o vulnerabilitate critică de tip zero-day în sistemul de operare Microsoft Windows, confirmată de companie ca fiind exploatată activ înainte de lansarea actualizării de securitate din 8 aprilie 2025. Aflată în componenta Common Log File System (CLFS), defecțiunea permite escaladarea privilegiilor, oferind atacatorilor acces complet asupra unui sistem compromis.

Ce riscuri implică CVE-2025-29824

Vulnerabilitatea permite unui atacator care are deja acces la un sistem să obțină privilegii de sistem, ceea ce înseamnă că poate:

• Executa cod malițios
• Instala programe nesigure
• Modifica setări critice ale sistemului
• Accesa date sensibile
• Lansa atacuri ransomware

Scor CVSS: 7.8 (nivel ridicat)

Cum funcționează atacul

Potrivit Microsoft, exploitul CVE-2025-29824 este asociat grupării Storm-2460 și implică folosirea unui malware numit PipeMagic. Codul malițios este livrat prin site-uri legitime compromise, iar procesul de atac implică:

• Utilizarea funcției NtQuerySystemInformation pentru a extrage adrese din kernel
• Coruperea memoriei și activarea funcției RtlSetAllBits pentru modificarea token-ului de securitate
• Exploatarea procesului dllhost.exe pentru rularea codului
• Crearea unui fișier .blf malițios în C:\ProgramData\SkyPDF\

Indicatori de compromitere (IOC)

• C:\ProgramData\SkyPDF\PDUDrv.blf – fișier generat în timpul exploatării
• dllhost.exe –do – proces folosit pentru injectarea codului malițios
• Comenzi suspecte:
  • bcdedit /set {default} recoveryenabled no
  • wbadmin delete catalog -quiet
  • wevtutil cl Application
• Domeniu utilizat: eastus.cloudapp.azure[.]com – canal C2 pentru comunicare cu serverul atacatorilor

Recomandări pentru protecție imediată

Microsoft și experții în securitate cibernetică recomandă:

• Aplicarea imediată a patch-ului de securitate din aprilie 2025
• Activarea protecției cloud în Microsoft Defender Antivirus
• Utilizarea EDR în modul de blocare în Defender for Endpoint
• Activarea AIR (Automated Investigation and Remediation) din portalul Microsoft 365 Defender
• Aplicarea regulilor ASR (Attack Surface Reduction) pentru limitarea tehnicilor ransomware
• Scanarea rețelei pentru identificarea sistemelor neadministrate
• Utilizarea Defender Vulnerability Management pentru audit și implementarea rapidă a actualizărilor lipsă

Concluzii

CVE-2025-29824 este o vulnerabilitate activ exploatată în mediul real și reprezintă o amenințare majoră pentru infrastructurile IT, mai ales în mediile neactualizate. Exploatarea acesteia oferă acces complet atacatorilor și poate facilita lansarea de atacuri complexe, inclusiv ransomware. Aplicarea urgentă a patch-ului și implementarea recomandărilor de securitate sunt esențiale pentru protejarea rețelelor.

Pentru asistență și resurse suplimentare, vizitați: https://pnrisc.dnsc.ro sau apelați 1911 (linie națională de urgență în securitate cibernetică).