微軟披露，一個現已修復的影響Windows通用日志文件系統（CLFS）的安全漏洞曾被作為零日漏洞用于針對少數目標的勒索軟件攻擊中。

攻擊目標與漏洞詳情

這家科技巨頭表示："受害者包括美國信息技術（IT）和房地產行業組織、委內瑞拉金融行業企業、一家西班牙軟件公司以及沙特阿拉伯零售行業機構。"相關漏洞編號為CVE-2025-29824，是CLFS中的一個權限提升漏洞，攻擊者可利用該漏洞獲取SYSTEM權限。微軟已在2025年4月的補丁星期二更新中修復該漏洞。

微軟將CVE-2025-29824漏洞的利用活動追蹤命名為Storm-2460，攻擊者還使用名為PipeMagic的惡意軟件來投遞漏洞利用程序及勒索軟件載荷。

攻擊手法分析

目前尚不清楚攻擊者使用的初始入侵途徑。但安全人員觀察到攻擊者使用certutil工具從先前已被入侵的合法第三方網站下載惡意軟件以投放載荷。該惡意軟件是一個包含加密載荷的惡意MSBuild文件，解密后會啟動PipeMagic——這是一個基于插件的木馬程序，自2022年起就已在野外被發現。

值得注意的是，CVE-2025-29824是繼CVE-2025-24983之后第二個通過PipeMagic傳播的Windows零日漏洞。CVE-2025-24983是Windows Win32內核子系統的權限提升漏洞，上月由ESET報告并被微軟修復。此前，PipeMagic還曾與利用另一個CLFS零日漏洞（CVE-2023-28252）的Nokoyawa勒索軟件攻擊有關聯。

卡巴斯基在2023年4月指出："在我們歸因于同一攻擊者的其他攻擊中，還觀察到在利用CLFS權限提升漏洞前，受害機器已感染了通過MSBuild腳本啟動的定制模塊化后門程序'PipeMagic'。"

技術細節與影響范圍

需要特別注意的是，Windows 11 24H2版本不受此特定漏洞利用影響，因為該版本限制了NtQuerySystemInformation中某些系統信息類的訪問權限，僅授予具有SeDebugPrivilege的用戶（通常只有管理員級別用戶才能獲取）。

微軟威脅情報團隊解釋稱："該漏洞利用針對CLFS內核驅動程序中的漏洞。攻擊者隨后利用內存損壞和RtlSetAllBits API將漏洞利用進程的令牌覆蓋為0xFFFFFFFF值，從而為進程啟用所有權限，使其能夠注入SYSTEM進程。"

攻擊后續行為

成功利用漏洞后，攻擊者會通過轉儲LSASS內存來提取用戶憑證，并使用隨機擴展名加密系統文件。微軟表示未能獲取勒索軟件樣本進行分析，但指出加密后留下的勒索說明中包含與RansomEXX勒索軟件家族相關的TOR域名。

微軟強調："勒索軟件攻擊者非常重視入侵后的權限提升漏洞利用，因為這能幫助他們將初始訪問權限（包括從普通惡意軟件分銷商處獲得的權限）提升為特權訪問。隨后他們會利用特權訪問權限在環境中廣泛部署和引爆勒索軟件。"