Исследователи компании ESET обнаружили, что хакеры активно эксплуатировали критическую уязвимость в подсистеме ядра Windows Win32 на протяжении целого года. Брешь, получившая идентификатор CVE-2025-24983, позволяла злоумышленникам повышать привилегии в системе до уровня SYSTEM.

Технические детали уязвимости

Обнаруженная проблема относится к типу use-after-free и оценивается в 7 баллов по шкале CVSS. При успешной эксплуатации уязвимости атакующие могли спровоцировать состояние гонки в системе, что открывало доступ к привилегированным функциям. Microsoft выпустила патч для устранения этой бреши в рамках мартовского обновления безопасности.

Масштаб угрозы и затронутые системы

Хотя изначально эксплойт был нацелен на устаревшие версии Windows Server 2012 R2 и Windows 8.1, исследование показало, что уязвимости подвержены и более современные системы, включая Windows Server 2016 и Windows 10 (сборка 1809 и ниже). Особую опасность представляет тот факт, что эксплойт активно использовался в реальных атаках с марта 2023 года.

Связь с вредоносным ПО PipeMagic

Эксплуатация уязвимости осуществлялась через вредоносное ПО PipeMagic, впервые обнаруженное специалистами «Лаборатории Касперского» в 2022 году. Этот бэкдор обладает широким функционалом, включая кражу конфиденциальных данных, обеспечение удаленного доступа к зараженным системам и возможность латерального перемещения в корпоративных сетях.

Использование в программах-вымогателях

В 2023 году PipeMagic был замечен в операциях вымогательской группировки Nokoyawa. Злоумышленники комбинировали различные уязвимости, включая CVE-2023-28252, для проведения комплексных атак на корпоративные системы.

Данный инцидент подчеркивает критическую важность своевременного обновления систем безопасности и мониторинга сетевой активности. Организациям рекомендуется незамедлительно установить последние обновления безопасности Microsoft и провести аудит систем на предмет возможной компрометации.