Microsoft hat ein umfangreiches Sicherheitsupdate veröffentlicht, das über 120 Schwachstellen in verschiedenen Produkten behebt. Besonders kritisch ist dabei die Zero-Day-Schwachstelle CVE-2025-29824, die von der Ransomware-Gruppe RansomEXX bereits aktiv für gezielte Angriffe ausgenutzt wurde.
Technische Details zur kritischen Schwachstelle
Die als „Use-after-free“-Schwachstelle klassifizierte Sicherheitslücke im Windows Common Log File System erhielt einen CVSS-Score von 7,8. Sie ermöglicht es Angreifern, ohne Benutzerinteraktion lokale Privilegien bis zur SYSTEM-Ebene zu erlangen. Besorgniserregend ist, dass für einige Windows 10-Versionen, darunter x64- und 32-Bit-Systeme, noch keine Patches verfügbar sind.
Globale Angriffskampagne durch RansomEXX
Die auch als Storm-2460 bekannte Gruppe RansomEXX führte eine koordinierte Angriffskampagne durch, die sich gegen verschiedene Branchen richtete. Zu den Zielen gehörten IT-Unternehmen und Immobilienfirmen in den USA, Finanzinstitute in Venezuela, Softwareentwickler in Spanien sowie Einzelhandelsunternehmen in Saudi-Arabien.
PipeMagic: Hochentwickeltes Angriffswerkzeug
Die Angreifer setzten den Backdoor PipeMagic als zentrales Element ihrer Kampagne ein. Diese Schadsoftware wurde nicht nur zur Ausnutzung der CVE-2025-29824-Schwachstelle verwendet, sondern ermöglichte auch die Installation von Ransomware und die Verschlüsselung von Dateien. Sicherheitsexperten von Kaspersky bestätigen, dass PipeMagic zusätzlich Datenspionage und vollständige Remote-Kontrolle kompromittierter Systeme ermöglicht.
Historische Entwicklung der Bedrohung
PipeMagic wurde bereits 2023 bei Angriffen der Nokoyawa-Ransomware beobachtet, wo es die Zero-Day-Schwachstelle CVE-2023-28252 ausnutzte. ESET-Forscher dokumentierten zudem seit März 2023 Angriffe auf die Windows Win32-Kernelkomponente über CVE-2025-24983.
Microsoft empfiehlt dringend die unmittelbare Installation verfügbarer Sicherheitsupdates. Nutzer von Windows 11 24H2 sind durch integrierte Sicherheitsmechanismen bereits vor der Ausnutzung dieser Schwachstelle geschützt. Für die noch nicht gepatchten Windows-Versionen arbeitet Microsoft mit Hochdruck an Updates und wird deren Verfügbarkeit zeitnah kommunizieren. Bis dahin sollten Administratoren verstärkte Überwachungsmaßnahmen implementieren und verdächtige Systemaktivitäten umgehend untersuchen.
