微软最近承认,自家后院又着火了——一个影响Windows通用日志文件系统(CLFS)的安全漏洞,编号CVE-2025-29824。这玩意儿可不是闹着玩的,已经被黑客当成零日漏洞,精准打击了一小撮倒霉蛋,背后还牵扯到勒索软件的黑幕。
01 谁是受害者?这次的瓜有点意思
微软这次点名了几家,说受害者里有美国的信息技术(IT)和房地产行业组织,听起来像是基础设施或者关键服务提供商。更耐人寻味的是,还有委内瑞拉的金融机构、西班牙的软件公司,甚至连沙特阿拉伯的零售巨头也未能幸免。这是什么节奏?全球开花?还是说,攻击者另有所图?
CVE-2025-29824,听起来像个枯燥的技术名词,但实际上是个权限提升漏洞,能让黑客直接拿到SYSTEM权限——相当于整个系统的钥匙都拱手让人了。微软亡羊补牢,在四月的补丁星期二里紧急修复了这个窟窿,但亡羊补牢,为时晚否?
更诡异的是,微软把这次攻击行动命名为Storm-2460,听起来像个科幻电影里的反派组织。他们还用了一种叫做PipeMagic的恶意软件来投递漏洞利用程序和勒索软件。PipeMagic?这名字起得,真够魔幻的。
02 黑客的套路:下载、解密、启动,一环套一环的死亡连环
黑客到底是怎么攻进去的?目前还不太清楚,但安全人员发现,他们会先黑掉一些合法的第三方网站,然后用certutil这个工具从这些网站上下载恶意软件。这招够阴险,借刀杀人啊!
下载下来的东西也不是直接能用的,而是一个包含加密载荷的MSBuild文件。解密之后,才会露出PipeMagic的真面目——一个基于插件的木马程序,据说早在2022年就出来兴风作浪了。
更可怕的是,这已经不是PipeMagic第一次利用Windows零日漏洞作案了。上一次是CVE-2025-24983,也是个权限提升漏洞。看来,PipeMagic这家伙是铁了心要跟Windows过不去啊。
卡巴斯基早在去年就指出,PipeMagic通常会先潜伏在受害者的机器里,然后等待时机,利用CLFS权限提升漏洞发动攻击。这就像一个耐心等待猎物的蜘蛛,一旦机会出现,就会毫不犹豫地扑上去。
03 谁能幸免?Windows 11 24H2用户可以偷着乐一下
不过,也不是所有人都得提心吊胆。Windows 11 24H2版本的用户可以稍微松口气,因为这个版本限制了NtQuerySystemInformation中某些系统信息类的访问权限,只有管理员级别的用户才能获取。这就像给系统加了一道防火墙,能有效阻止黑客利用这个漏洞。
微软威胁情报团队解释说,这个漏洞利用的是CLFS内核驱动程序里的一个bug。黑客会先利用内存损坏,然后通过RtlSetAllBits API把漏洞利用进程的令牌覆盖成一个特殊的值,从而获得所有权限,最终把恶意代码注入到SYSTEM进程里。
04 勒索信指向RansomEXX家族,这水有点深
成功入侵之后,黑客会干些什么?当然是搞钱!他们会先转储LSASS内存,窃取用户的凭证,然后用随机扩展名加密系统文件。
微软说他们没能拿到勒索软件的样本进行分析,但加密后留下的勒索说明里,提到了与RansomEXX勒索软件家族相关的TOR域名。RansomEXX,这可不是什么善茬,之前已经有不少企业栽在他们手里了。
微软最后强调,勒索软件攻击者非常重视权限提升漏洞,因为这能帮助他们把初始访问权限提升为特权访问,从而在环境中肆无忌惮地部署和引爆勒索软件。这就像打游戏,先拿到高级装备,才能更好地虐菜。
总而言之,这次的事件再次提醒我们,网络安全形势依然严峻,我们必须时刻保持警惕,及时安装补丁,加强安全防护,才能避免成为下一个受害者。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
