Компания Microsoft выпустила масштабное обновление безопасности, устраняющее более 120 уязвимостей в своих продуктах. Особое внимание специалистов привлекла критическая уязвимость нулевого дня (CVE-2025-29824), которая активно эксплуатировалась хакерами группировки RansomEXX в целевых атаках.
Детали критической уязвимости
Уязвимость CVE-2025-29824 получила оценку 7,8 по шкале CVSS и затрагивает драйвер Windows Common Log File System. Эксперты классифицировали её как уязвимость типа use-after-free, позволяющую локальным злоумышленникам повысить привилегии до уровня SYSTEM без взаимодействия с пользователем. Важно отметить, что патчи пока недоступны для некоторых версий Windows 10, включая x64 и 32-битные системы.
Масштаб и цели атак
По данным Microsoft, вымогательская группировка RansomEXX (также известная как Storm-2460) использовала уязвимость в серии целенаправленных атак. Жертвами стали компании из различных секторов: IT-компании и компании недвижимости в США, финансовые организации Венесуэлы, разработчики ПО в Испании и предприятия розничной торговли в Саудовской Аравии.
Технические аспекты атак
Злоумышленники применяли бэкдор PipeMagic как ключевой инструмент в своей вредоносной кампании. Этот бэкдор использовался для доставки эксплойта CVE-2025-29824, развертывания программ-вымогателей и шифрования файлов. Специалисты «Лаборатории Касперского» отмечают, что PipeMagic способен не только собирать конфиденциальные данные, но и обеспечивать полный удаленный доступ к зараженным системам.
История использования PipeMagic
Вредоносное ПО PipeMagic имеет богатую историю применения в кибератаках. В 2023 году оно использовалось в атаках вымогателя Nokoyawa, эксплуатируя другую уязвимость нулевого дня (CVE-2023-28252). Эксперты ESET также зафиксировали его применение для эксплуатации уязвимости CVE-2025-24983 в подсистеме ядра Windows Win32 с марта 2023 года.
Microsoft настоятельно рекомендует пользователям установить последние обновления безопасности как можно скорее. Примечательно, что пользователи Windows 11 24H2 оказались защищены от эксплуатации данной уязвимости даже при её наличии в системе. Компания продолжает работу над выпуском патчей для остальных затронутых версий Windows и обещает оповестить пользователей, как только обновления станут доступны.
