微軟最新發(fā)布的4月安全更新修復了一個正被黑客積極利用的高危零日漏洞,該漏洞可導致系統(tǒng)權限被完全控制,并已成為勒索軟件攻擊的跳板。如果你使用Windows系統(tǒng),請務必立即關注!
在剛剛過去的4月8日,微軟發(fā)布了2025年4月的補丁星期二更新,修復了多達134個安全漏洞。其中最值得關注的是一個被編號為CVE-2025-29824的高危零日漏洞,這個漏洞已經(jīng)被發(fā)現(xiàn)在野外被勒索軟件團伙RansomEXX積極利用,對全球多個行業(yè)的組織發(fā)起了有針對性的攻擊。
微軟安全響應中心(MSRC)和微軟威脅情報中心(MSTIC)聯(lián)合發(fā)布的安全公告顯示,這個漏洞存在于Windows通用日志文件系統(tǒng)(CLFS)驅動程序中,是一種典型的"Use-After-Free"(釋放后使用)類型漏洞。更令人擔憂的是,攻擊者無需任何用戶交互,只要獲得系統(tǒng)的低權限訪問,就能通過這個漏洞提升至系統(tǒng)最高權限(SYSTEM),完全控制受害者的計算機。
目前已有確鑿證據(jù)表明,勒索軟件團伙Storm-2460(與RansomEXX相關)正在利用這一漏洞對美國IT和房地產(chǎn)行業(yè)、委內瑞拉金融行業(yè)、西班牙軟件公司以及沙特零售行業(yè)的目標發(fā)起攻擊。一旦攻擊成功,黑客將在受害系統(tǒng)中部署勒索軟件,加密文件并勒索贖金。
作為Windows系統(tǒng)用戶,你需要立即了解這一威脅并采取措施保護你的系統(tǒng)安全。本文將詳細解析這一高危漏洞的技術細節(jié)、影響范圍、攻擊手法以及如何有效防護,幫助你全面應對這一安全風險。
漏洞詳情解析:Windows系統(tǒng)中的"定時炸彈"
漏洞基本信息
CVE-2025-29824是一個存在于Windows通用日志文件系統(tǒng)(Common Log File System,簡稱CLFS)驅動程序中的高危漏洞。CLFS是Windows操作系統(tǒng)的核心組件,負責處理系統(tǒng)日志文件,幾乎所有Windows系統(tǒng)都會使用這一組件。
該漏洞的技術類型為"Use-After-Free"(釋放后使用),這是一種內存破壞漏洞。簡單來說,當程序釋放了內存后,仍然嘗試使用這塊已釋放的內存區(qū)域,就會導致程序行為異常,攻擊者可以利用這種異常狀態(tài)執(zhí)行惡意代碼。
根據(jù)微軟官方評級,該漏洞的CVSSv3評分為7.8分,屬于"高危"級別。美國網(wǎng)絡安全和基礎設施安全局(CISA)已將其添加到已知利用漏洞目錄中,并要求聯(lián)邦機構在2025年4月29日前完成修復。
漏洞利用原理
從技術角度看,CVE-2025-29824漏洞的危險之處在于:
無需用戶交互:攻擊者無需誘導用戶點擊鏈接或打開文件,只要獲得系統(tǒng)的低權限訪問,就能自動觸發(fā)漏洞。
低復雜度攻擊:利用該漏洞的技術門檻較低,攻擊代碼相對簡單,這意味著更多的攻擊者可能會嘗試利用它。
權限提升:成功利用該漏洞后,攻擊者可以從普通用戶權限提升至系統(tǒng)最高權限(SYSTEM),獲得對整個系統(tǒng)的完全控制權。
廣泛的影響范圍:除Windows 11 24H2版本外,幾乎所有當前支持的Windows版本都受到影響,包括Windows 10和其他Windows 11版本。
微軟安全研究人員發(fā)現(xiàn),該漏洞的利用過程首先使用NtQuerySystemInformation API泄露內核地址到用戶模式,然后利用內存損壞和RtlSetAllBits API覆蓋攻擊進程的令牌,啟用所有權限,最終允許向SYSTEM進程注入惡意代碼。
影響范圍:誰應該擔心?
受影響的系統(tǒng)版本
根據(jù)微軟官方公告,以下系統(tǒng)版本受到CVE-2025-29824漏洞的影響:
- Windows 11(除24H2版本外的所有版本)
值得注意的是,Windows 11 24H2版本因為對NtQuerySystemInformation API的訪問限制(僅允許具有SeDebugPrivilege權限的用戶訪問某些系統(tǒng)信息類),使得該版本不受當前已知利用方式的影響。
受影響的行業(yè)和地區(qū)
微軟威脅情報中心已經(jīng)觀察到針對多個行業(yè)和地區(qū)的有針對性攻擊:
- 美國信息技術(IT)和房地產(chǎn)行業(yè)
這種跨行業(yè)、跨地區(qū)的攻擊表明,攻擊者的目標非常廣泛,任何組織都可能成為潛在的受害者。
潛在風險
如果系統(tǒng)受到該漏洞的成功攻擊,可能導致以下嚴重后果:
- 攻擊者可能在系統(tǒng)中建立持久性后門,為未來攻擊做準備
實際攻擊案例分析:勒索軟件團伙的精心策劃
攻擊者畫像
根據(jù)微軟的分析,利用CVE-2025-29824漏洞發(fā)起攻擊的是一個被稱為Storm-2460的威脅行動組,與臭名昭著的RansomEXX勒索軟件團伙有關。RansomEXX自2018年開始活動,最初名為Defray,2020年6月更名為RansomEXX并變得更加活躍。
該團伙曾針對多家知名組織發(fā)起攻擊,包括:
- 政府軟件供應商Tyler Technologies
攻擊鏈詳解
微軟安全研究人員觀察到的攻擊鏈非常復雜,展示了攻擊者的精心策劃:
初始訪問:雖然微軟尚未確定初始訪問的具體方式,但觀察到攻擊者使用certutil工具從被入侵的合法第三方網(wǎng)站下載惡意文件。
惡意載荷部署:下載的是一個惡意MSBuild文件,攜帶加密的惡意軟件載荷。一旦載荷被解密并通過EnumCalendarInfoA API回調執(zhí)行,惡意軟件被確認為PipeMagic后門。
漏洞利用:PipeMagic部署后,攻擊者從dllhost.exe進程在內存中啟動CLFS漏洞利用程序。利用成功后,會在路徑C:\ProgramData\SkyPDF\PDUDrv.blf創(chuàng)建一個CLFS BLF文件。
權限提升:漏洞利用使攻擊者獲得系統(tǒng)最高權限。
憑證竊取:攻擊者將Sysinternals的procdump.exe工具注入到另一個dllhost.exe進程,并運行命令轉儲LSASS內存,從中提取用戶憑證。
勒索軟件部署:最終,攻擊者部署勒索軟件,加密文件并添加隨機擴展名,同時放置名為!_READ_ME_REXX2_!.txt的勒索信。
勒索軟件特征
勒索信中包含兩個.onion域名:
jbdg4buq6jd7ed3rd6cynqtq5abttuekjnxqrqyvk4xam5i7ld33jvqd.onion(已被確認與RansomEXX勒索軟件家族相關)uyhi3ypdkfeymyf5v35pbk3pz7st3zamsbjzf47jiqbcm3zmikpwf3qd.onion
勒索軟件通常從dllhost.exe進程啟動,命令行格式為:--do [加密路徑](例如:C:\Windows\system32\dllhost.exe --do C:\foobar)。
攻擊者還會執(zhí)行一系列命令使恢復或分析變得更困難:
bcdedit /set {default} recoveryenabled no(禁用系統(tǒng)恢復)wbadmin delete catalog -quiet(刪除備份目錄)wevtutil cl Application(清除應用程序事件日志)
這些操作顯示了攻擊者的專業(yè)性和對Windows系統(tǒng)的深入了解,使得受害者幾乎沒有恢復的可能,只能考慮支付贖金或依靠事先準備的備份。
微軟官方修復方案:立即行動
補丁發(fā)布情況
微軟已于2025年4月8日(補丁星期二)發(fā)布了針對CVE-2025-29824漏洞的安全更新。這些更新包含在4月累積更新包中,適用于受影響的所有Windows版本。
值得注意的是,Windows 11 24H2版本雖然存在該漏洞,但由于系統(tǒng)安全機制的改進(限制了對某些NtQuerySystemInformation API系統(tǒng)信息類的訪問),使得當前已知的攻擊方式無法在該版本上成功利用漏洞。盡管如此,微軟仍建議所有用戶安裝最新更新以確保系統(tǒng)安全。
更新優(yōu)先級
微軟強烈建議所有Windows用戶立即安裝這些安全更新。考慮到該漏洞已被積極利用,并且可能導致嚴重的安全后果,這些更新應被視為最高優(yōu)先級。
對于無法立即更新的企業(yè)環(huán)境,應優(yōu)先保護關鍵業(yè)務系統(tǒng)和面向互聯(lián)網(wǎng)的服務器。
全面防護建議:構建多層次防御體系
1. 系統(tǒng)更新與補丁管理
立即安裝安全更新:通過Windows Update安裝最新的安全補丁。可以通過"設置 > 更新和安全 > Windows Update"檢查并安裝更新。
啟用自動更新:對于個人用戶,建議啟用Windows自動更新功能,確保系統(tǒng)及時獲取安全補丁。
建立補丁管理流程:對于企業(yè)用戶,建立嚴格的補丁測試和部署流程,確保關鍵補丁能在最短時間內應用到生產(chǎn)環(huán)境。
2. 加強系統(tǒng)防護
啟用云端保護:開啟Microsoft Defender防病毒的云端保護功能,這可以幫助檢測和阻止最新的威脅變種。
啟用EDR阻止模式:企業(yè)用戶應啟用Microsoft Defender for Endpoint的EDR阻止模式,即使在非Microsoft防病毒產(chǎn)品未檢測到威脅或Microsoft Defender防病毒以被動模式運行時,也能阻止惡意程序。
使用設備發(fā)現(xiàn)功能:增加網(wǎng)絡可見性,發(fā)現(xiàn)網(wǎng)絡中未管理的設備并將其納入Microsoft Defender for Endpoint管理。勒索軟件攻擊者通常會識別未管理或遺留系統(tǒng),并利用這些盲點發(fā)起攻擊。
啟用自動調查和修復:允許Microsoft Defender for Endpoint自動處理警報,解決安全漏洞,顯著減少警報數(shù)量。
3. 網(wǎng)絡安全加固
實施網(wǎng)絡分段:將網(wǎng)絡劃分為不同的安全區(qū)域,限制不同區(qū)域之間的通信,減少攻擊擴散的可能性。
限制遠程訪問:嚴格控制遠程桌面協(xié)議(RDP)等遠程訪問服務,使用VPN和多因素認證保護遠程連接。
監(jiān)控異常流量:部署網(wǎng)絡監(jiān)控工具,檢測和阻止可疑的網(wǎng)絡活動,特別是與已知惡意域名或IP地址的通信。
4. 數(shù)據(jù)保護與恢復
實施3-2-1備份策略:保留至少三個數(shù)據(jù)副本,存儲在兩種不同的媒介上,其中一個副本保存在異地。
定期測試備份恢復:定期驗證備份的完整性并測試恢復流程,確保在發(fā)生攻擊時能夠快速恢復業(yè)務。
隔離關鍵備份:確保至少一份備份與生產(chǎn)網(wǎng)絡完全隔離,防止備份也被加密或刪除。
考慮不可變存儲:使用支持WORM(一次寫入多次讀取)功能的存儲解決方案,防止備份數(shù)據(jù)被篡改。
5. 安全意識與培訓
提高員工安全意識:定期開展安全培訓,教育員工識別釣魚郵件和其他社會工程攻擊手段。
建立安全報告機制:鼓勵員工報告可疑活動,并確保報告渠道暢通。
模擬演練:定期進行安全事件響應演練,確保團隊在真實攻擊發(fā)生時能夠有效應對。
6. 監(jiān)控與響應
部署端點檢測與響應(EDR)解決方案:使用EDR工具監(jiān)控端點活動,及時發(fā)現(xiàn)和響應可疑行為。
建立安全運營中心(SOC) :對于大型企業(yè),考慮建立專門的安全運營團隊,24/7監(jiān)控安全事件。
制定事件響應計劃:提前準備詳細的安全事件響應流程,包括隔離、調查、恢復和報告等步驟。
7. 針對PipeMagic后門的特定防護
根據(jù)微軟的分析,攻擊者使用PipeMagic后門作為部署CVE-2025-29824漏洞利用程序的跳板。為防范此類攻擊,建議:
監(jiān)控certutil工具的異常使用:特別關注使用certutil從外部網(wǎng)站下載文件的行為。
檢測可疑的MSBuild活動:監(jiān)控非開發(fā)環(huán)境中的MSBuild.exe異常執(zhí)行。
關注CLFS BLF文件創(chuàng)建:監(jiān)控系統(tǒng)中異常的BLF文件創(chuàng)建,特別是在非標準位置如C:\ProgramData目錄下。
監(jiān)控LSASS轉儲嘗試:檢測和阻止針對lsass.exe進程的內存轉儲操作,這通常是憑證竊取的前兆。
監(jiān)控可疑的dllhost.exe行為:特別注意帶有非標準命令行參數(shù)的dllhost.exe進程。
總結:安全無小事,行動要迅速
在當今日益復雜的網(wǎng)絡安全環(huán)境中,像CVE-2025-29824這樣的高危零日漏洞提醒我們,網(wǎng)絡安全威脅正變得越來越復雜和危險。勒索軟件攻擊已經(jīng)從單純的技術挑戰(zhàn)演變?yōu)閷ζ髽I(yè)生存的實際威脅,造成的損失可能高達數(shù)百萬甚至數(shù)十億元。
這次微軟緊急修復的Windows通用日志文件系統(tǒng)漏洞具有以下特點:
這些特點使其成為近期最值得關注的高危安全漏洞之一。
為什么必須立即行動?
勒索軟件攻擊一旦成功,后果往往是災難性的:
- 關鍵業(yè)務數(shù)據(jù)被加密,導致業(yè)務中斷
- 敏感信息可能被竊取并公開,造成聲譽損失和合規(guī)風險
- 恢復成本高昂,包括可能的贖金支付、系統(tǒng)重建和業(yè)務中斷損失
- 即使支付贖金,也無法保證數(shù)據(jù)能夠完全恢復
更令人擔憂的是,RansomEXX這樣的勒索軟件團伙通常會針對高價值目標進行精心策劃的攻擊,他們有足夠的耐心和資源等待最佳時機發(fā)動攻擊。
立即采取行動
面對這一嚴重威脅,我們強烈建議所有Windows系統(tǒng)用戶:
立即檢查并安裝更新:無論是個人用戶還是企業(yè)用戶,都應該立即通過Windows Update檢查并安裝最新的安全更新。
全面評估系統(tǒng)安全狀況:使用安全掃描工具檢查系統(tǒng)是否存在其他漏洞,并及時修復。
檢查是否已被入侵:尋找可疑跡象,如異常的系統(tǒng)行為、未知進程或可疑文件(特別是名為!_READ_ME_REXX2_!.txt的文件)。
備份關鍵數(shù)據(jù):確保重要數(shù)據(jù)已經(jīng)備份,并且備份與生產(chǎn)環(huán)境隔離。
提高警惕:保持對可疑郵件、鏈接和下載的警惕,這些可能是攻擊的入口點。
安全是一場持久戰(zhàn)
網(wǎng)絡安全不是一次性的工作,而是需要持續(xù)投入的過程。建立完善的安全體系、培養(yǎng)良好的安全習慣、保持系統(tǒng)更新是防范網(wǎng)絡威脅的基礎。
在這個數(shù)字化程度不斷深入的時代,網(wǎng)絡安全已經(jīng)成為個人和組織不可忽視的重要議題。希望本文能夠幫助您了解CVE-2025-29824漏洞的嚴重性,并采取必要措施保護您的數(shù)字資產(chǎn)安全。
最后,如果您發(fā)現(xiàn)系統(tǒng)可能已經(jīng)受到攻擊,請立即斷開網(wǎng)絡連接,聯(lián)系專業(yè)的安全團隊尋求幫助,并考慮向相關網(wǎng)絡安全機構報告,共同維護網(wǎng)絡空間安全。
參考資料:
- 微軟安全響應中心:CVE-2025-29824安全公告
- 微軟安全博客:Exploitation of CLFS zero-day leads to ransomware activity
- 美國網(wǎng)絡安全和基礎設施安全局(CISA):Known Exploited Vulnerabilities Catalog
閱讀原文:https://mp.weixin.qq.com/s/ajxDi0Zq4kuJHKVuypG58w
該文章在 2025/4/9 14:38:03 編輯過
400 186 1886
