微軟最新發(fā)布的4月安全更新修復(fù)了一個(gè)正被黑客積極利用的高危零日漏洞,該漏洞可導(dǎo)致系統(tǒng)權(quán)限被完全控制,并已成為勒索軟件攻擊的跳板。如果你使用Windows系統(tǒng),請(qǐng)務(wù)必立即關(guān)注!
在剛剛過去的4月8日,微軟發(fā)布了2025年4月的補(bǔ)丁星期二更新,修復(fù)了多達(dá)134個(gè)安全漏洞。其中最值得關(guān)注的是一個(gè)被編號(hào)為CVE-2025-29824的高危零日漏洞,這個(gè)漏洞已經(jīng)被發(fā)現(xiàn)在野外被勒索軟件團(tuán)伙RansomEXX積極利用,對(duì)全球多個(gè)行業(yè)的組織發(fā)起了有針對(duì)性的攻擊。
微軟安全響應(yīng)中心(MSRC)和微軟威脅情報(bào)中心(MSTIC)聯(lián)合發(fā)布的安全公告顯示,這個(gè)漏洞存在于Windows通用日志文件系統(tǒng)(CLFS)驅(qū)動(dòng)程序中,是一種典型的"Use-After-Free"(釋放后使用)類型漏洞。更令人擔(dān)憂的是,攻擊者無需任何用戶交互,只要獲得系統(tǒng)的低權(quán)限訪問,就能通過這個(gè)漏洞提升至系統(tǒng)最高權(quán)限(SYSTEM),完全控制受害者的計(jì)算機(jī)。
目前已有確鑿證據(jù)表明,勒索軟件團(tuán)伙Storm-2460(與RansomEXX相關(guān))正在利用這一漏洞對(duì)美國(guó)IT和房地產(chǎn)行業(yè)、委內(nèi)瑞拉金融行業(yè)、西班牙軟件公司以及沙特零售行業(yè)的目標(biāo)發(fā)起攻擊。一旦攻擊成功,黑客將在受害系統(tǒng)中部署勒索軟件,加密文件并勒索贖金。
作為Windows系統(tǒng)用戶,你需要立即了解這一威脅并采取措施保護(hù)你的系統(tǒng)安全。本文將詳細(xì)解析這一高危漏洞的技術(shù)細(xì)節(jié)、影響范圍、攻擊手法以及如何有效防護(hù),幫助你全面應(yīng)對(duì)這一安全風(fēng)險(xiǎn)。
漏洞詳情解析:Windows系統(tǒng)中的"定時(shí)炸彈"
漏洞基本信息
CVE-2025-29824是一個(gè)存在于Windows通用日志文件系統(tǒng)(Common Log File System,簡(jiǎn)稱CLFS)驅(qū)動(dòng)程序中的高危漏洞。CLFS是Windows操作系統(tǒng)的核心組件,負(fù)責(zé)處理系統(tǒng)日志文件,幾乎所有Windows系統(tǒng)都會(huì)使用這一組件。
該漏洞的技術(shù)類型為"Use-After-Free"(釋放后使用),這是一種內(nèi)存破壞漏洞。簡(jiǎn)單來說,當(dāng)程序釋放了內(nèi)存后,仍然嘗試使用這塊已釋放的內(nèi)存區(qū)域,就會(huì)導(dǎo)致程序行為異常,攻擊者可以利用這種異常狀態(tài)執(zhí)行惡意代碼。
根據(jù)微軟官方評(píng)級(jí),該漏洞的CVSSv3評(píng)分為7.8分,屬于"高危"級(jí)別。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)已將其添加到已知利用漏洞目錄中,并要求聯(lián)邦機(jī)構(gòu)在2025年4月29日前完成修復(fù)。
漏洞利用原理
從技術(shù)角度看,CVE-2025-29824漏洞的危險(xiǎn)之處在于:
無需用戶交互:攻擊者無需誘導(dǎo)用戶點(diǎn)擊鏈接或打開文件,只要獲得系統(tǒng)的低權(quán)限訪問,就能自動(dòng)觸發(fā)漏洞。
低復(fù)雜度攻擊:利用該漏洞的技術(shù)門檻較低,攻擊代碼相對(duì)簡(jiǎn)單,這意味著更多的攻擊者可能會(huì)嘗試?yán)盟?/span>
權(quán)限提升:成功利用該漏洞后,攻擊者可以從普通用戶權(quán)限提升至系統(tǒng)最高權(quán)限(SYSTEM),獲得對(duì)整個(gè)系統(tǒng)的完全控制權(quán)。
廣泛的影響范圍:除Windows 11 24H2版本外,幾乎所有當(dāng)前支持的Windows版本都受到影響,包括Windows 10和其他Windows 11版本。
微軟安全研究人員發(fā)現(xiàn),該漏洞的利用過程首先使用NtQuerySystemInformation API泄露內(nèi)核地址到用戶模式,然后利用內(nèi)存損壞和RtlSetAllBits API覆蓋攻擊進(jìn)程的令牌,啟用所有權(quán)限,最終允許向SYSTEM進(jìn)程注入惡意代碼。
影響范圍:誰應(yīng)該擔(dān)心?
受影響的系統(tǒng)版本
根據(jù)微軟官方公告,以下系統(tǒng)版本受到CVE-2025-29824漏洞的影響:
- Windows 11(除24H2版本外的所有版本)
值得注意的是,Windows 11 24H2版本因?yàn)閷?duì)NtQuerySystemInformation API的訪問限制(僅允許具有SeDebugPrivilege權(quán)限的用戶訪問某些系統(tǒng)信息類),使得該版本不受當(dāng)前已知利用方式的影響。
受影響的行業(yè)和地區(qū)
微軟威脅情報(bào)中心已經(jīng)觀察到針對(duì)多個(gè)行業(yè)和地區(qū)的有針對(duì)性攻擊:
- 美國(guó)信息技術(shù)(IT)和房地產(chǎn)行業(yè)
這種跨行業(yè)、跨地區(qū)的攻擊表明,攻擊者的目標(biāo)非常廣泛,任何組織都可能成為潛在的受害者。
潛在風(fēng)險(xiǎn)
如果系統(tǒng)受到該漏洞的成功攻擊,可能導(dǎo)致以下嚴(yán)重后果:
- 系統(tǒng)完全被控制,攻擊者獲得最高權(quán)限
- 系統(tǒng)文件被加密,導(dǎo)致業(yè)務(wù)中斷
- 攻擊者可能在系統(tǒng)中建立持久性后門,為未來攻擊做準(zhǔn)備
實(shí)際攻擊案例分析:勒索軟件團(tuán)伙的精心策劃
攻擊者畫像
根據(jù)微軟的分析,利用CVE-2025-29824漏洞發(fā)起攻擊的是一個(gè)被稱為Storm-2460的威脅行動(dòng)組,與臭名昭著的RansomEXX勒索軟件團(tuán)伙有關(guān)。RansomEXX自2018年開始活動(dòng),最初名為Defray,2020年6月更名為RansomEXX并變得更加活躍。
該團(tuán)伙曾針對(duì)多家知名組織發(fā)起攻擊,包括:
- 柯尼卡美能達(dá)(Konica Minolta)
- 政府軟件供應(yīng)商Tyler Technologies
攻擊鏈詳解
微軟安全研究人員觀察到的攻擊鏈非常復(fù)雜,展示了攻擊者的精心策劃:
初始訪問:雖然微軟尚未確定初始訪問的具體方式,但觀察到攻擊者使用certutil工具從被入侵的合法第三方網(wǎng)站下載惡意文件。
惡意載荷部署:下載的是一個(gè)惡意MSBuild文件,攜帶加密的惡意軟件載荷。一旦載荷被解密并通過EnumCalendarInfoA API回調(diào)執(zhí)行,惡意軟件被確認(rèn)為PipeMagic后門。
漏洞利用:PipeMagic部署后,攻擊者從dllhost.exe進(jìn)程在內(nèi)存中啟動(dòng)CLFS漏洞利用程序。利用成功后,會(huì)在路徑C:\ProgramData\SkyPDF\PDUDrv.blf創(chuàng)建一個(gè)CLFS BLF文件。
權(quán)限提升:漏洞利用使攻擊者獲得系統(tǒng)最高權(quán)限。
憑證竊取:攻擊者將Sysinternals的procdump.exe工具注入到另一個(gè)dllhost.exe進(jìn)程,并運(yùn)行命令轉(zhuǎn)儲(chǔ)LSASS內(nèi)存,從中提取用戶憑證。
勒索軟件部署:最終,攻擊者部署勒索軟件,加密文件并添加隨機(jī)擴(kuò)展名,同時(shí)放置名為!_READ_ME_REXX2_!.txt的勒索信。
勒索軟件特征
勒索信中包含兩個(gè).onion域名:
jbdg4buq6jd7ed3rd6cynqtq5abttuekjnxqrqyvk4xam5i7ld33jvqd.onion(已被確認(rèn)與RansomEXX勒索軟件家族相關(guān))uyhi3ypdkfeymyf5v35pbk3pz7st3zamsbjzf47jiqbcm3zmikpwf3qd.onion
勒索軟件通常從dllhost.exe進(jìn)程啟動(dòng),命令行格式為:--do [加密路徑](例如:C:\Windows\system32\dllhost.exe --do C:\foobar)。
攻擊者還會(huì)執(zhí)行一系列命令使恢復(fù)或分析變得更困難:
bcdedit /set {default} recoveryenabled no(禁用系統(tǒng)恢復(fù))wbadmin delete catalog -quiet(刪除備份目錄)wevtutil cl Application(清除應(yīng)用程序事件日志)
這些操作顯示了攻擊者的專業(yè)性和對(duì)Windows系統(tǒng)的深入了解,使得受害者幾乎沒有恢復(fù)的可能,只能考慮支付贖金或依靠事先準(zhǔn)備的備份。
微軟官方修復(fù)方案:立即行動(dòng)
補(bǔ)丁發(fā)布情況
微軟已于2025年4月8日(補(bǔ)丁星期二)發(fā)布了針對(duì)CVE-2025-29824漏洞的安全更新。這些更新包含在4月累積更新包中,適用于受影響的所有Windows版本。
值得注意的是,Windows 11 24H2版本雖然存在該漏洞,但由于系統(tǒng)安全機(jī)制的改進(jìn)(限制了對(duì)某些NtQuerySystemInformation API系統(tǒng)信息類的訪問),使得當(dāng)前已知的攻擊方式無法在該版本上成功利用漏洞。盡管如此,微軟仍建議所有用戶安裝最新更新以確保系統(tǒng)安全。
更新優(yōu)先級(jí)
微軟強(qiáng)烈建議所有Windows用戶立即安裝這些安全更新。考慮到該漏洞已被積極利用,并且可能導(dǎo)致嚴(yán)重的安全后果,這些更新應(yīng)被視為最高優(yōu)先級(jí)。
對(duì)于無法立即更新的企業(yè)環(huán)境,應(yīng)優(yōu)先保護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)和面向互聯(lián)網(wǎng)的服務(wù)器。
全面防護(hù)建議:構(gòu)建多層次防御體系
1. 系統(tǒng)更新與補(bǔ)丁管理
立即安裝安全更新:通過Windows Update安裝最新的安全補(bǔ)丁。可以通過"設(shè)置 > 更新和安全 > Windows Update"檢查并安裝更新。
啟用自動(dòng)更新:對(duì)于個(gè)人用戶,建議啟用Windows自動(dòng)更新功能,確保系統(tǒng)及時(shí)獲取安全補(bǔ)丁。
建立補(bǔ)丁管理流程:對(duì)于企業(yè)用戶,建立嚴(yán)格的補(bǔ)丁測(cè)試和部署流程,確保關(guān)鍵補(bǔ)丁能在最短時(shí)間內(nèi)應(yīng)用到生產(chǎn)環(huán)境。
2. 加強(qiáng)系統(tǒng)防護(hù)
啟用云端保護(hù):開啟Microsoft Defender防病毒的云端保護(hù)功能,這可以幫助檢測(cè)和阻止最新的威脅變種。
啟用EDR阻止模式:企業(yè)用戶應(yīng)啟用Microsoft Defender for Endpoint的EDR阻止模式,即使在非Microsoft防病毒產(chǎn)品未檢測(cè)到威脅或Microsoft Defender防病毒以被動(dòng)模式運(yùn)行時(shí),也能阻止惡意程序。
使用設(shè)備發(fā)現(xiàn)功能:增加網(wǎng)絡(luò)可見性,發(fā)現(xiàn)網(wǎng)絡(luò)中未管理的設(shè)備并將其納入Microsoft Defender for Endpoint管理。勒索軟件攻擊者通常會(huì)識(shí)別未管理或遺留系統(tǒng),并利用這些盲點(diǎn)發(fā)起攻擊。
啟用自動(dòng)調(diào)查和修復(fù):允許Microsoft Defender for Endpoint自動(dòng)處理警報(bào),解決安全漏洞,顯著減少警報(bào)數(shù)量。
3. 網(wǎng)絡(luò)安全加固
實(shí)施網(wǎng)絡(luò)分段:將網(wǎng)絡(luò)劃分為不同的安全區(qū)域,限制不同區(qū)域之間的通信,減少攻擊擴(kuò)散的可能性。
限制遠(yuǎn)程訪問:嚴(yán)格控制遠(yuǎn)程桌面協(xié)議(RDP)等遠(yuǎn)程訪問服務(wù),使用VPN和多因素認(rèn)證保護(hù)遠(yuǎn)程連接。
監(jiān)控異常流量:部署網(wǎng)絡(luò)監(jiān)控工具,檢測(cè)和阻止可疑的網(wǎng)絡(luò)活動(dòng),特別是與已知惡意域名或IP地址的通信。
4. 數(shù)據(jù)保護(hù)與恢復(fù)
實(shí)施3-2-1備份策略:保留至少三個(gè)數(shù)據(jù)副本,存儲(chǔ)在兩種不同的媒介上,其中一個(gè)副本保存在異地。
定期測(cè)試備份恢復(fù):定期驗(yàn)證備份的完整性并測(cè)試恢復(fù)流程,確保在發(fā)生攻擊時(shí)能夠快速恢復(fù)業(yè)務(wù)。
隔離關(guān)鍵備份:確保至少一份備份與生產(chǎn)網(wǎng)絡(luò)完全隔離,防止備份也被加密或刪除。
考慮不可變存儲(chǔ):使用支持WORM(一次寫入多次讀取)功能的存儲(chǔ)解決方案,防止備份數(shù)據(jù)被篡改。
5. 安全意識(shí)與培訓(xùn)
提高員工安全意識(shí):定期開展安全培訓(xùn),教育員工識(shí)別釣魚郵件和其他社會(huì)工程攻擊手段。
建立安全報(bào)告機(jī)制:鼓勵(lì)員工報(bào)告可疑活動(dòng),并確保報(bào)告渠道暢通。
模擬演練:定期進(jìn)行安全事件響應(yīng)演練,確保團(tuán)隊(duì)在真實(shí)攻擊發(fā)生時(shí)能夠有效應(yīng)對(duì)。
6. 監(jiān)控與響應(yīng)
部署端點(diǎn)檢測(cè)與響應(yīng)(EDR)解決方案:使用EDR工具監(jiān)控端點(diǎn)活動(dòng),及時(shí)發(fā)現(xiàn)和響應(yīng)可疑行為。
建立安全運(yùn)營(yíng)中心(SOC) :對(duì)于大型企業(yè),考慮建立專門的安全運(yùn)營(yíng)團(tuán)隊(duì),24/7監(jiān)控安全事件。
制定事件響應(yīng)計(jì)劃:提前準(zhǔn)備詳細(xì)的安全事件響應(yīng)流程,包括隔離、調(diào)查、恢復(fù)和報(bào)告等步驟。
7. 針對(duì)PipeMagic后門的特定防護(hù)
根據(jù)微軟的分析,攻擊者使用PipeMagic后門作為部署CVE-2025-29824漏洞利用程序的跳板。為防范此類攻擊,建議:
監(jiān)控certutil工具的異常使用:特別關(guān)注使用certutil從外部網(wǎng)站下載文件的行為。
檢測(cè)可疑的MSBuild活動(dòng):監(jiān)控非開發(fā)環(huán)境中的MSBuild.exe異常執(zhí)行。
關(guān)注CLFS BLF文件創(chuàng)建:監(jiān)控系統(tǒng)中異常的BLF文件創(chuàng)建,特別是在非標(biāo)準(zhǔn)位置如C:\ProgramData目錄下。
監(jiān)控LSASS轉(zhuǎn)儲(chǔ)嘗試:檢測(cè)和阻止針對(duì)lsass.exe進(jìn)程的內(nèi)存轉(zhuǎn)儲(chǔ)操作,這通常是憑證竊取的前兆。
監(jiān)控可疑的dllhost.exe行為:特別注意帶有非標(biāo)準(zhǔn)命令行參數(shù)的dllhost.exe進(jìn)程。
總結(jié):安全無小事,行動(dòng)要迅速
在當(dāng)今日益復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中,像CVE-2025-29824這樣的高危零日漏洞提醒我們,網(wǎng)絡(luò)安全威脅正變得越來越復(fù)雜和危險(xiǎn)。勒索軟件攻擊已經(jīng)從單純的技術(shù)挑戰(zhàn)演變?yōu)閷?duì)企業(yè)生存的實(shí)際威脅,造成的損失可能高達(dá)數(shù)百萬甚至數(shù)十億元。
這次微軟緊急修復(fù)的Windows通用日志文件系統(tǒng)漏洞具有以下特點(diǎn):
這些特點(diǎn)使其成為近期最值得關(guān)注的高危安全漏洞之一。
為什么必須立即行動(dòng)?
勒索軟件攻擊一旦成功,后果往往是災(zāi)難性的:
- 關(guān)鍵業(yè)務(wù)數(shù)據(jù)被加密,導(dǎo)致業(yè)務(wù)中斷
- 敏感信息可能被竊取并公開,造成聲譽(yù)損失和合規(guī)風(fēng)險(xiǎn)
- 恢復(fù)成本高昂,包括可能的贖金支付、系統(tǒng)重建和業(yè)務(wù)中斷損失
- 即使支付贖金,也無法保證數(shù)據(jù)能夠完全恢復(fù)
更令人擔(dān)憂的是,RansomEXX這樣的勒索軟件團(tuán)伙通常會(huì)針對(duì)高價(jià)值目標(biāo)進(jìn)行精心策劃的攻擊,他們有足夠的耐心和資源等待最佳時(shí)機(jī)發(fā)動(dòng)攻擊。
立即采取行動(dòng)
面對(duì)這一嚴(yán)重威脅,我們強(qiáng)烈建議所有Windows系統(tǒng)用戶:
立即檢查并安裝更新:無論是個(gè)人用戶還是企業(yè)用戶,都應(yīng)該立即通過Windows Update檢查并安裝最新的安全更新。
全面評(píng)估系統(tǒng)安全狀況:使用安全掃描工具檢查系統(tǒng)是否存在其他漏洞,并及時(shí)修復(fù)。
檢查是否已被入侵:尋找可疑跡象,如異常的系統(tǒng)行為、未知進(jìn)程或可疑文件(特別是名為!_READ_ME_REXX2_!.txt的文件)。
備份關(guān)鍵數(shù)據(jù):確保重要數(shù)據(jù)已經(jīng)備份,并且備份與生產(chǎn)環(huán)境隔離。
提高警惕:保持對(duì)可疑郵件、鏈接和下載的警惕,這些可能是攻擊的入口點(diǎn)。
安全是一場(chǎng)持久戰(zhàn)
網(wǎng)絡(luò)安全不是一次性的工作,而是需要持續(xù)投入的過程。建立完善的安全體系、培養(yǎng)良好的安全習(xí)慣、保持系統(tǒng)更新是防范網(wǎng)絡(luò)威脅的基礎(chǔ)。
在這個(gè)數(shù)字化程度不斷深入的時(shí)代,網(wǎng)絡(luò)安全已經(jīng)成為個(gè)人和組織不可忽視的重要議題。希望本文能夠幫助您了解CVE-2025-29824漏洞的嚴(yán)重性,并采取必要措施保護(hù)您的數(shù)字資產(chǎn)安全。
最后,如果您發(fā)現(xiàn)系統(tǒng)可能已經(jīng)受到攻擊,請(qǐng)立即斷開網(wǎng)絡(luò)連接,聯(lián)系專業(yè)的安全團(tuán)隊(duì)尋求幫助,并考慮向相關(guān)網(wǎng)絡(luò)安全機(jī)構(gòu)報(bào)告,共同維護(hù)網(wǎng)絡(luò)空間安全。
參考資料:
- 微軟安全響應(yīng)中心:CVE-2025-29824安全公告
- 微軟安全博客:Exploitation of CLFS zero-day leads to ransomware activity
- 美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA):Known Exploited Vulnerabilities Catalog
閱讀原文:https://mp.weixin.qq.com/s/ajxDi0Zq4kuJHKVuypG58w
該文章在 2025/4/9 14:38:03 編輯過
400 186 1886
