微軟最新發布的4月安全更新修復了一個正被黑客積極利用的高危零日漏洞,該漏洞可導致系統權限被完全控制,并已成為勒索軟件攻擊的跳板。如果你使用Windows系統,請務必立即關注!
在剛剛過去的4月8日,微軟發布了2025年4月的補丁星期二更新,修復了多達134個安全漏洞。其中最值得關注的是一個被編號為CVE-2025-29824的高危零日漏洞,這個漏洞已經被發現在野外被勒索軟件團伙RansomEXX積極利用,對全球多個行業的組織發起了有針對性的攻擊。
微軟安全響應中心(MSRC)和微軟威脅情報中心(MSTIC)聯合發布的安全公告顯示,這個漏洞存在于Windows通用日志文件系統(CLFS)驅動程序中,是一種典型的"Use-After-Free"(釋放后使用)類型漏洞。更令人擔憂的是,攻擊者無需任何用戶交互,只要獲得系統的低權限訪問,就能通過這個漏洞提升至系統最高權限(SYSTEM),完全控制受害者的計算機。
目前已有確鑿證據表明,勒索軟件團伙Storm-2460(與RansomEXX相關)正在利用這一漏洞對美國IT和房地產行業、委內瑞拉金融行業、西班牙軟件公司以及沙特零售行業的目標發起攻擊。一旦攻擊成功,黑客將在受害系統中部署勒索軟件,加密文件并勒索贖金。
作為Windows系統用戶,你需要立即了解這一威脅并采取措施保護你的系統安全。本文將詳細解析這一高危漏洞的技術細節、影響范圍、攻擊手法以及如何有效防護,幫助你全面應對這一安全風險。
漏洞詳情解析:Windows系統中的"定時炸彈"
漏洞基本信息
CVE-2025-29824是一個存在于Windows通用日志文件系統(Common Log File System,簡稱CLFS)驅動程序中的高危漏洞。CLFS是Windows操作系統的核心組件,負責處理系統日志文件,幾乎所有Windows系統都會使用這一組件。
該漏洞的技術類型為"Use-After-Free"(釋放后使用),這是一種內存破壞漏洞。簡單來說,當程序釋放了內存后,仍然嘗試使用這塊已釋放的內存區域,就會導致程序行為異常,攻擊者可以利用這種異常狀態執行惡意代碼。
根據微軟官方評級,該漏洞的CVSSv3評分為7.8分,屬于"高危"級別。美國網絡安全和基礎設施安全局(CISA)已將其添加到已知利用漏洞目錄中,并要求聯邦機構在2025年4月29日前完成修復。
漏洞利用原理
從技術角度看,CVE-2025-29824漏洞的危險之處在于:
無需用戶交互:攻擊者無需誘導用戶點擊鏈接或打開文件,只要獲得系統的低權限訪問,就能自動觸發漏洞。
低復雜度攻擊:利用該漏洞的技術門檻較低,攻擊代碼相對簡單,這意味著更多的攻擊者可能會嘗試利用它。
權限提升:成功利用該漏洞后,攻擊者可以從普通用戶權限提升至系統最高權限(SYSTEM),獲得對整個系統的完全控制權。
廣泛的影響范圍:除Windows 11 24H2版本外,幾乎所有當前支持的Windows版本都受到影響,包括Windows 10和其他Windows 11版本。
微軟安全研究人員發現,該漏洞的利用過程首先使用NtQuerySystemInformation API泄露內核地址到用戶模式,然后利用內存損壞和RtlSetAllBits API覆蓋攻擊進程的令牌,啟用所有權限,最終允許向SYSTEM進程注入惡意代碼。
影響范圍:誰應該擔心?
受影響的系統版本
根據微軟官方公告,以下系統版本受到CVE-2025-29824漏洞的影響:
- Windows 11(除24H2版本外的所有版本)
值得注意的是,Windows 11 24H2版本因為對NtQuerySystemInformation API的訪問限制(僅允許具有SeDebugPrivilege權限的用戶訪問某些系統信息類),使得該版本不受當前已知利用方式的影響。
受影響的行業和地區
微軟威脅情報中心已經觀察到針對多個行業和地區的有針對性攻擊:
這種跨行業、跨地區的攻擊表明,攻擊者的目標非常廣泛,任何組織都可能成為潛在的受害者。
潛在風險
如果系統受到該漏洞的成功攻擊,可能導致以下嚴重后果:
- 攻擊者可能在系統中建立持久性后門,為未來攻擊做準備
實際攻擊案例分析:勒索軟件團伙的精心策劃
攻擊者畫像
根據微軟的分析,利用CVE-2025-29824漏洞發起攻擊的是一個被稱為Storm-2460的威脅行動組,與臭名昭著的RansomEXX勒索軟件團伙有關。RansomEXX自2018年開始活動,最初名為Defray,2020年6月更名為RansomEXX并變得更加活躍。
該團伙曾針對多家知名組織發起攻擊,包括:
- 政府軟件供應商Tyler Technologies
攻擊鏈詳解
微軟安全研究人員觀察到的攻擊鏈非常復雜,展示了攻擊者的精心策劃:
初始訪問:雖然微軟尚未確定初始訪問的具體方式,但觀察到攻擊者使用certutil工具從被入侵的合法第三方網站下載惡意文件。
惡意載荷部署:下載的是一個惡意MSBuild文件,攜帶加密的惡意軟件載荷。一旦載荷被解密并通過EnumCalendarInfoA API回調執行,惡意軟件被確認為PipeMagic后門。
漏洞利用:PipeMagic部署后,攻擊者從dllhost.exe進程在內存中啟動CLFS漏洞利用程序。利用成功后,會在路徑C:\ProgramData\SkyPDF\PDUDrv.blf創建一個CLFS BLF文件。
憑證竊取:攻擊者將Sysinternals的procdump.exe工具注入到另一個dllhost.exe進程,并運行命令轉儲LSASS內存,從中提取用戶憑證。
勒索軟件部署:最終,攻擊者部署勒索軟件,加密文件并添加隨機擴展名,同時放置名為!_READ_ME_REXX2_!.txt的勒索信。
勒索軟件特征
勒索信中包含兩個.onion域名:
jbdg4buq6jd7ed3rd6cynqtq5abttuekjnxqrqyvk4xam5i7ld33jvqd.onion(已被確認與RansomEXX勒索軟件家族相關)uyhi3ypdkfeymyf5v35pbk3pz7st3zamsbjzf47jiqbcm3zmikpwf3qd.onion
勒索軟件通常從dllhost.exe進程啟動,命令行格式為:--do [加密路徑](例如:C:\Windows\system32\dllhost.exe --do C:\foobar)。
攻擊者還會執行一系列命令使恢復或分析變得更困難:
bcdedit /set {default} recoveryenabled no(禁用系統恢復)wbadmin delete catalog -quiet(刪除備份目錄)wevtutil cl Application(清除應用程序事件日志)
這些操作顯示了攻擊者的專業性和對Windows系統的深入了解,使得受害者幾乎沒有恢復的可能,只能考慮支付贖金或依靠事先準備的備份。
微軟官方修復方案:立即行動
補丁發布情況
微軟已于2025年4月8日(補丁星期二)發布了針對CVE-2025-29824漏洞的安全更新。這些更新包含在4月累積更新包中,適用于受影響的所有Windows版本。
值得注意的是,Windows 11 24H2版本雖然存在該漏洞,但由于系統安全機制的改進(限制了對某些NtQuerySystemInformation API系統信息類的訪問),使得當前已知的攻擊方式無法在該版本上成功利用漏洞。盡管如此,微軟仍建議所有用戶安裝最新更新以確保系統安全。
更新優先級
微軟強烈建議所有Windows用戶立即安裝這些安全更新。考慮到該漏洞已被積極利用,并且可能導致嚴重的安全后果,這些更新應被視為最高優先級。
對于無法立即更新的企業環境,應優先保護關鍵業務系統和面向互聯網的服務器。
全面防護建議:構建多層次防御體系
1. 系統更新與補丁管理
立即安裝安全更新:通過Windows Update安裝最新的安全補丁。可以通過"設置 > 更新和安全 > Windows Update"檢查并安裝更新。
啟用自動更新:對于個人用戶,建議啟用Windows自動更新功能,確保系統及時獲取安全補丁。
建立補丁管理流程:對于企業用戶,建立嚴格的補丁測試和部署流程,確保關鍵補丁能在最短時間內應用到生產環境。
2. 加強系統防護
啟用云端保護:開啟Microsoft Defender防病毒的云端保護功能,這可以幫助檢測和阻止最新的威脅變種。
啟用EDR阻止模式:企業用戶應啟用Microsoft Defender for Endpoint的EDR阻止模式,即使在非Microsoft防病毒產品未檢測到威脅或Microsoft Defender防病毒以被動模式運行時,也能阻止惡意程序。
使用設備發現功能:增加網絡可見性,發現網絡中未管理的設備并將其納入Microsoft Defender for Endpoint管理。勒索軟件攻擊者通常會識別未管理或遺留系統,并利用這些盲點發起攻擊。
啟用自動調查和修復:允許Microsoft Defender for Endpoint自動處理警報,解決安全漏洞,顯著減少警報數量。
3. 網絡安全加固
實施網絡分段:將網絡劃分為不同的安全區域,限制不同區域之間的通信,減少攻擊擴散的可能性。
限制遠程訪問:嚴格控制遠程桌面協議(RDP)等遠程訪問服務,使用VPN和多因素認證保護遠程連接。
監控異常流量:部署網絡監控工具,檢測和阻止可疑的網絡活動,特別是與已知惡意域名或IP地址的通信。
4. 數據保護與恢復
實施3-2-1備份策略:保留至少三個數據副本,存儲在兩種不同的媒介上,其中一個副本保存在異地。
定期測試備份恢復:定期驗證備份的完整性并測試恢復流程,確保在發生攻擊時能夠快速恢復業務。
隔離關鍵備份:確保至少一份備份與生產網絡完全隔離,防止備份也被加密或刪除。
考慮不可變存儲:使用支持WORM(一次寫入多次讀取)功能的存儲解決方案,防止備份數據被篡改。
5. 安全意識與培訓
提高員工安全意識:定期開展安全培訓,教育員工識別釣魚郵件和其他社會工程攻擊手段。
建立安全報告機制:鼓勵員工報告可疑活動,并確保報告渠道暢通。
模擬演練:定期進行安全事件響應演練,確保團隊在真實攻擊發生時能夠有效應對。
6. 監控與響應
部署端點檢測與響應(EDR)解決方案:使用EDR工具監控端點活動,及時發現和響應可疑行為。
建立安全運營中心(SOC) :對于大型企業,考慮建立專門的安全運營團隊,24/7監控安全事件。
制定事件響應計劃:提前準備詳細的安全事件響應流程,包括隔離、調查、恢復和報告等步驟。
7. 針對PipeMagic后門的特定防護
根據微軟的分析,攻擊者使用PipeMagic后門作為部署CVE-2025-29824漏洞利用程序的跳板。為防范此類攻擊,建議:
監控certutil工具的異常使用:特別關注使用certutil從外部網站下載文件的行為。
檢測可疑的MSBuild活動:監控非開發環境中的MSBuild.exe異常執行。
關注CLFS BLF文件創建:監控系統中異常的BLF文件創建,特別是在非標準位置如C:\ProgramData目錄下。
監控LSASS轉儲嘗試:檢測和阻止針對lsass.exe進程的內存轉儲操作,這通常是憑證竊取的前兆。
監控可疑的dllhost.exe行為:特別注意帶有非標準命令行參數的dllhost.exe進程。
總結:安全無小事,行動要迅速
在當今日益復雜的網絡安全環境中,像CVE-2025-29824這樣的高危零日漏洞提醒我們,網絡安全威脅正變得越來越復雜和危險。勒索軟件攻擊已經從單純的技術挑戰演變為對企業生存的實際威脅,造成的損失可能高達數百萬甚至數十億元。
這次微軟緊急修復的Windows通用日志文件系統漏洞具有以下特點:
這些特點使其成為近期最值得關注的高危安全漏洞之一。
為什么必須立即行動?
勒索軟件攻擊一旦成功,后果往往是災難性的:
- 恢復成本高昂,包括可能的贖金支付、系統重建和業務中斷損失
更令人擔憂的是,RansomEXX這樣的勒索軟件團伙通常會針對高價值目標進行精心策劃的攻擊,他們有足夠的耐心和資源等待最佳時機發動攻擊。
立即采取行動
面對這一嚴重威脅,我們強烈建議所有Windows系統用戶:
立即檢查并安裝更新:無論是個人用戶還是企業用戶,都應該立即通過Windows Update檢查并安裝最新的安全更新。
全面評估系統安全狀況:使用安全掃描工具檢查系統是否存在其他漏洞,并及時修復。
檢查是否已被入侵:尋找可疑跡象,如異常的系統行為、未知進程或可疑文件(特別是名為!_READ_ME_REXX2_!.txt的文件)。
備份關鍵數據:確保重要數據已經備份,并且備份與生產環境隔離。
提高警惕:保持對可疑郵件、鏈接和下載的警惕,這些可能是攻擊的入口點。
安全是一場持久戰
網絡安全不是一次性的工作,而是需要持續投入的過程。建立完善的安全體系、培養良好的安全習慣、保持系統更新是防范網絡威脅的基礎。
在這個數字化程度不斷深入的時代,網絡安全已經成為個人和組織不可忽視的重要議題。希望本文能夠幫助您了解CVE-2025-29824漏洞的嚴重性,并采取必要措施保護您的數字資產安全。
最后,如果您發現系統可能已經受到攻擊,請立即斷開網絡連接,聯系專業的安全團隊尋求幫助,并考慮向相關網絡安全機構報告,共同維護網絡空間安全。
參考資料:
- 微軟安全響應中心:CVE-2025-29824安全公告
- 微軟安全博客:Exploitation of CLFS zero-day leads to ransomware activity
- 美國網絡安全和基礎設施安全局(CISA):Known Exploited Vulnerabilities Catalog
閱讀原文:https://mp.weixin.qq.com/s/ajxDi0Zq4kuJHKVuypG58w
該文章在 2025/4/9 14:38:03 編輯過
400 186 1886
