PipeMagic-Malware

Von Mezo in Malware, Sicherheitsrisiko

Übersetzen Sie in:

Forscher haben eine inzwischen geschlossene Sicherheitslücke im Windows Common Log File System (CLFS) entdeckt, die aktiv für einen Zero-Day-Angriff ausgenutzt wurde. Diese Schwachstelle wurde in Ransomware-Kampagnen genutzt, die sich gegen bestimmte Unternehmen verschiedener Branchen richteten, darunter die IT- und Immobilienbranche in den USA, Finanzinstitute in Venezuela, ein spanisches Softwareunternehmen und Einzelhandelsunternehmen in Saudi-Arabien.

Inhaltsverzeichnis

CVE-2025-29824 verstehen

Diese Sicherheitslücke mit der Bezeichnung CVE-2025-29824 stellt eine Schwachstelle zur Rechteausweitung in CLFS dar, die es Angreifern ermöglicht, Berechtigungen auf Systemebene zu erlangen. Microsoft hat das Problem mit dem Patch Tuesday-Update vom April 2025 behoben. Die cyberkriminelle Gruppe hinter diesen Angriffen, die unter dem Namen Storm-2460 verfolgt wird, setzte eine Malware-Variante namens PipeMagic ein, um die Sicherheitslücke auszunutzen und Ransomware-Payloads zu verbreiten.

Wie der Angriff ablief

Während die genaue Methode des ersten Zugriffs unbekannt bleibt, beobachteten die Forscher, dass die Angreifer das Cert-Dienstprogramm nutzten, um Malware von einer kompromittierten Drittanbieter-Website herunterzuladen. Die Malware, eine bedrohliche MSBuild-Datei, enthielt eine verschlüsselte Nutzlast, die nach der Ausführung PipeMagic startete. Dieser seit 2022 aktive, pluginbasierte Trojaner spielte eine zentrale Rolle bei der Ermöglichung des Angriffs.

Dies ist nicht der erste Fall, in dem PipeMagic für Zero-Day-Exploits eingesetzt wurde. Zuvor nutzte die Malware bereits CVE-2025-24983, eine Schwachstelle zur Rechteausweitung im Windows Win32 Kernel Subsystem. Sie wurde auch mit Nokoyawa-Ransomware-Angriffen in Verbindung gebracht, die eine weitere Zero-Day-Schwachstelle im CLFS, CVE-2023-28252, ausnutzten. Cybersicherheitsexperten berichteten zudem, dass PipeMagic bei früheren Angriffen, die demselben Angreifer zugeschrieben werden, über ein MSBuild-Skript eingesetzt wurde, bevor die CLFS-Schwachstelle zur Rechteausweitung ausgenutzt wurde.

Ausbeutung und ihre Auswirkungen

Der Angriff zielt explizit auf eine Schwachstelle im CLFS-Kerneltreiber ab. Durch Ausnutzung von Speicherbeschädigungen und der RtlSetAllBits-API überschreiben die Angreifer das Token des Exploit-Prozesses mit 0xFFFFFFFF und gewähren ihm volle Berechtigungen. Dadurch können sie unsichere Prozesse in SYSTEM-Prozesse einschleusen und so die Kontrolle über den infizierten Rechner übernehmen. Nach erfolgreicher Ausnutzung extrahieren die Angreifer Benutzeranmeldeinformationen, indem sie den LSASS-Speicher leeren und Systemdateien mit einer zufällig generierten Erweiterung verschlüsseln. Anschließend wird eine Lösegeldforderung mit einer TOR-Domain, die mit der RansomEXX-Ransomware-Familie verknüpft ist, hinterlassen.

Sicherheitsmaßnahmen und Verteidigung

Trotz der Schwere des Angriffs ist Windows 11, Version 24H2, von dieser spezifischen Ausnutzung nicht betroffen. Dies liegt an Sicherheitsbeschränkungen für bestimmte Systeminformationsklassen innerhalb von NtQuerySystemInformation, die den Zugriff auf Benutzer mit SeDebugPrivilege beschränken, einer Berechtigung, die normalerweise nur Administratoren gewährt wird.

Ransomware-Akteure legen nach wie vor Wert auf die Rechteausweitung nach einem Angriff, da sie so den anfänglichen Zugriff in umfassendere Kontrolle innerhalb eines Netzwerks umwandeln können. Durch die Ausnutzung von Exploits wie CVE-2025-29824 können sie ihre Reichweite erweitern, privilegierten Zugriff erlangen und Ransomware mit verheerender Wirkung einsetzen. Unternehmen müssen wachsam bleiben, Sicherheitspatches umgehend installieren, ungewöhnliche Systemaktivitäten überwachen und strenge Zugriffskontrollen durchsetzen, um die Risiken dieser sich entwickelnden Cyberbedrohungen zu verringern.