Исследователи компании ESET обнаружили, что хакеры активно эксплуатировали критическую уязвимость в подсистеме ядра Windows Win32 на протяжении целого года. Брешь, получившая идентификатор CVE-2025-24983, позволяла злоумышленникам повышать привилегии в системе до уровня SYSTEM.
Технические детали уязвимости
Обнаруженная проблема относится к типу use-after-free и оценивается в 7 баллов по шкале CVSS. При успешной эксплуатации уязвимости атакующие могли спровоцировать состояние гонки в системе, что открывало доступ к привилегированным функциям. Microsoft выпустила патч для устранения этой бреши в рамках мартовского обновления безопасности.
Масштаб угрозы и затронутые системы
Хотя изначально эксплойт был нацелен на устаревшие версии Windows Server 2012 R2 и Windows 8.1, исследование показало, что уязвимости подвержены и более современные системы, включая Windows Server 2016 и Windows 10 (сборка 1809 и ниже). Особую опасность представляет тот факт, что эксплойт активно использовался в реальных атаках с марта 2023 года.
Связь с вредоносным ПО PipeMagic
Эксплуатация уязвимости осуществлялась через вредоносное ПО PipeMagic, впервые обнаруженное специалистами «Лаборатории Касперского» в 2022 году. Этот бэкдор обладает широким функционалом, включая кражу конфиденциальных данных, обеспечение удаленного доступа к зараженным системам и возможность латерального перемещения в корпоративных сетях.
Использование в программах-вымогателях
В 2023 году PipeMagic был замечен в операциях вымогательской группировки Nokoyawa. Злоумышленники комбинировали различные уязвимости, включая CVE-2023-28252, для проведения комплексных атак на корпоративные системы.
Данный инцидент подчеркивает критическую важность своевременного обновления систем безопасности и мониторинга сетевой активности. Организациям рекомендуется незамедлительно установить последние обновления безопасности Microsoft и провести аудит систем на предмет возможной компрометации.
