Microsoft a publicat actualizarea „Patch Tuesday” în 8 aprilie 2025, care include corecții pentru peste 120 de vulnerabilități critice de securitate din suita sa de produse software.
Citește și: Cum lucrează APT28, grup de spionaj al Rusiei sub comanda lui Putin. România se află printre ținte
Atenție! Ai calculator cu Windows? Instalează imediat „Patch Tuesday”
Pachetul de actualizări abordează o varietate extinsă de amenințări, printre care se numără escaladarea privilegiilor, execuția de cod la distanță, atacurile de tip Denial of Service (DoS), ocolirea mecanismelor de securitate, precum și o vulnerabilitate zero-day exploatată activ, identificată cu id-ul CVE-2025-29824.
CVE-2025-29824 este o vulnerabilitate zero-day despre care Microsoft a confirmat că era exploatată activ înainte de lansarea patch-ului.
Citește și: Noua metodă de escrocherie care face ravagii. Cine sunt oamenii vizați? Românii, victime sigure
Această vulnerabilitate de tip escaladare a privilegiilor permite unui atacator care are deja acces la un sistem să își extindă permisiunile dincolo de cele acordate inițial. În acest caz, defecțiunea se află în driverul Common Log File System (CLFS).
Dacă este exploatată cu succes, un atacator ar putea obține privilegii de sistem, permițându-i astfel să execute cod arbitrar, să instaleze programe malițioase, să modifice setările sistemului sau să acceseze date sensibile, atenționează specialiștii DNSC.
Cum acționează hackerii cu malware-ul cunoscut sub numele “PipeMagic”
Metodele inițiale de acces care au permis compromiterea dispozitivelor nu au fost încă identificate, dar Microsoft a observat mai multe comportamente specifice grupării Storm-2460. Atacatorii au descărcat fișiere dăunătoare de pe site-uri legitime compromise și au utilizat un malware cunoscut sub numele “PipeMagic”.
După livrarea malware-ului, atacatorii au declanșat exploatarea vulnerabilității din driverul kernel CLFS, rulând codul rău intenționat din procesul dllhost.exe.
Citește și: Specialiștii IT le recomandă șoferilor să-și închidă telefoanele. Nu e vorba de amendă, e mai grav
Vectorul de atac utilizează inițial funcția NtQuerySystemInformation pentru a extrage adrese de memorie din kernel, însă pe Windows 11 versiunea 24H2 accesul este restricționat la utilizatori cu privilegii administrative, ceea ce împiedică funcționarea.
Ulterior, printr-o corupere de memorie și apelarea funcției RtlSetAllBits, token-ul de securitate al procesului este modificat pentru a activa toate privilegiile, permițând injectarea în procese de sistem. În timpul exploatării, este generat un fișier dăunător cu extensia .blf, localizat în partiția C:, calea C:\ProgramData\SkyPDF\PDUDrv.blf".
Indicatori de compromitere ai sistemului Windows
- C:\ProgramData\SkyPDF\PDUDrv.blf - Fișier generat în timpul exploatării vulnerabilității din driverul CLFS.
- C:\Windows\system32\dllhost.exe –do - Comandă folosită pentru a executa sau injecta cod rău intenționat prin intermediul procesului dllhost.exe.
- bcdedit /set {default} recoveryenabled no - Comandă specifică atacurilor ransomware, utilizată pentru a dezactiva opțiunile de recuperare Windows, îngreunând restaurarea sistemului.
- wbadmin delete catalog -quiet - Comanda șterge informațiile despre backup-urile existente din Windows fără confirmare, împiedicând utilizatorii să restaureze sistemul din copii de rezervă.
- wevtutil cl Application - Comanda elimină logurile din jurnalul de evenimente „Application” al Windows-ului.
- eastus.cloudapp.azure[.]com - Domeniu utilizat de malware-ul PipeMagic pentru comunicarea cu serverul de comandă și control (C2).
Recomandări pentru protejarea sistemului Windows
- Actualizarea sistemelor cu patch-ul de securitate din 8 aprilie 2025 care remediază CVE-2025-29824.
- Activarea protecției cloud în Microsoft Defender Antivirus (sau un produs echivalent) pentru a detecta rapid amenințările.
- Implementarea mecanismelor de tip device discovery pentru a detecta echipamente și sisteme neînregistrate sau neadministrate în rețea și pentru a le include în procesele de monitorizare și protecție.
- Activarea Endpoint Detection and Response (EDR) în modul de blocare, astfel încât Microsoft Defender for Endpoint să poată bloca artefactele dăunătoare, chiar dacă în același timp rulează alt utilitar antivirus care nu le detectează.
- Activarea Automated Investigation and Remediation (AIR) din portalul Microsoft 365 Defender, în secțiunea Settings / Endpoints / Advanced features, pentru a permite un răspuns imediat la alerte și pentru a reduce volumul de incidente care necesită intervenție manuală.
- Utilizarea Microsoft Defender Vulnerability Management pentru a evalua starea actuală și a implementa actualizările lipsă.
- Activarea regulilor Attack Surface Reduction (ASR) din portalul Microsoft 365 Defender, accesând Settings / Endpoints / Attack surface reduction, pentru a bloca tehnici frecvent utilizate în atacurile de tip ransomware.
