微软最新发布的4月安全更新修复了一个正被黑客积极利用的高危零日漏洞,该漏洞可导致系统权限被完全控制,并已成为勒索软件攻击的跳板。如果你使用Windows系统,请务必立即关注!
在刚刚过去的4月8日,微软发布了2025年4月的补丁星期二更新,修复了多达134个安全漏洞。其中最值得关注的是一个被编号为CVE-2025-29824的高危零日漏洞,这个漏洞已经被发现在野外被勒索软件团伙RansomEXX积极利用,对全球多个行业的组织发起了有针对性的攻击。
微软安全响应中心(MSRC)和微软威胁情报中心(MSTIC)联合发布的安全公告显示,这个漏洞存在于Windows通用日志文件系统(CLFS)驱动程序中,是一种典型的"Use-After-Free"(释放后使用)类型漏洞。更令人担忧的是,攻击者无需任何用户交互,只要获得系统的低权限访问,就能通过这个漏洞提升至系统最高权限(SYSTEM),完全控制受害者的计算机。
目前已有确凿证据表明,勒索软件团伙Storm-2460(与RansomEXX相关)正在利用这一漏洞对美国IT和房地产行业、委内瑞拉金融行业、西班牙软件公司以及沙特零售行业的目标发起攻击。一旦攻击成功,黑客将在受害系统中部署勒索软件,加密文件并勒索赎金。
作为Windows系统用户,你需要立即了解这一威胁并采取措施保护你的系统安全。本文将详细解析这一高危漏洞的技术细节、影响范围、攻击手法以及如何有效防护,帮助你全面应对这一安全风险。
漏洞详情解析:Windows系统中的"定时炸弹"
漏洞基本信息
CVE-2025-29824是一个存在于Windows通用日志文件系统(Common Log File System,简称CLFS)驱动程序中的高危漏洞。CLFS是Windows操作系统的核心组件,负责处理系统日志文件,几乎所有Windows系统都会使用这一组件。
该漏洞的技术类型为"Use-After-Free"(释放后使用),这是一种内存破坏漏洞。简单来说,当程序释放了内存后,仍然尝试使用这块已释放的内存区域,就会导致程序行为异常,攻击者可以利用这种异常状态执行恶意代码。
根据微软官方评级,该漏洞的CVSSv3评分为7.8分,属于"高危"级别。美国网络安全和基础设施安全局(CISA)已将其添加到已知利用漏洞目录中,并要求联邦机构在2025年4月29日前完成修复。
漏洞利用原理
从技术角度看,CVE-2025-29824漏洞的危险之处在于:
无需用户交互:攻击者无需诱导用户点击链接或打开文件,只要获得系统的低权限访问,就能自动触发漏洞。
低复杂度攻击:利用该漏洞的技术门槛较低,攻击代码相对简单,这意味着更多的攻击者可能会尝试利用它。
权限提升:成功利用该漏洞后,攻击者可以从普通用户权限提升至系统最高权限(SYSTEM),获得对整个系统的完全控制权。
广泛的影响范围:除Windows 11 24H2版本外,几乎所有当前支持的Windows版本都受到影响,包括Windows 10和其他Windows 11版本。
微软安全研究人员发现,该漏洞的利用过程首先使用NtQuerySystemInformation API泄露内核地址到用户模式,然后利用内存损坏和RtlSetAllBits API覆盖攻击进程的令牌,启用所有权限,最终允许向SYSTEM进程注入恶意代码。
影响范围:谁应该担心?
受影响的系统版本
根据微软官方公告,以下系统版本受到CVE-2025-29824漏洞的影响:
- Windows 11(除24H2版本外的所有版本)
值得注意的是,Windows 11 24H2版本因为对NtQuerySystemInformation API的访问限制(仅允许具有SeDebugPrivilege权限的用户访问某些系统信息类),使得该版本不受当前已知利用方式的影响。
受影响的行业和地区
微软威胁情报中心已经观察到针对多个行业和地区的有针对性攻击:
这种跨行业、跨地区的攻击表明,攻击者的目标非常广泛,任何组织都可能成为潜在的受害者。
潜在风险
如果系统受到该漏洞的成功攻击,可能导致以下严重后果:
- 攻击者可能在系统中建立持久性后门,为未来攻击做准备
实际攻击案例分析:勒索软件团伙的精心策划
攻击者画像
根据微软的分析,利用CVE-2025-29824漏洞发起攻击的是一个被称为Storm-2460的威胁行动组,与臭名昭著的RansomEXX勒索软件团伙有关。RansomEXX自2018年开始活动,最初名为Defray,2020年6月更名为RansomEXX并变得更加活跃。
该团伙曾针对多家知名组织发起攻击,包括:
- 政府软件供应商Tyler Technologies
攻击链详解
微软安全研究人员观察到的攻击链非常复杂,展示了攻击者的精心策划:
初始访问:虽然微软尚未确定初始访问的具体方式,但观察到攻击者使用certutil工具从被入侵的合法第三方网站下载恶意文件。
恶意载荷部署:下载的是一个恶意MSBuild文件,携带加密的恶意软件载荷。一旦载荷被解密并通过EnumCalendarInfoA API回调执行,恶意软件被确认为PipeMagic后门。
漏洞利用:PipeMagic部署后,攻击者从dllhost.exe进程在内存中启动CLFS漏洞利用程序。利用成功后,会在路径C:\ProgramData\SkyPDF\PDUDrv.blf创建一个CLFS BLF文件。
凭证窃取:攻击者将Sysinternals的procdump.exe工具注入到另一个dllhost.exe进程,并运行命令转储LSASS内存,从中提取用户凭证。
勒索软件部署:最终,攻击者部署勒索软件,加密文件并添加随机扩展名,同时放置名为!_READ_ME_REXX2_!.txt的勒索信。
勒索软件特征
勒索信中包含两个.onion域名:
jbdg4buq6jd7ed3rd6cynqtq5abttuekjnxqrqyvk4xam5i7ld33jvqd.onion(已被确认与RansomEXX勒索软件家族相关)uyhi3ypdkfeymyf5v35pbk3pz7st3zamsbjzf47jiqbcm3zmikpwf3qd.onion
勒索软件通常从dllhost.exe进程启动,命令行格式为:--do [加密路径](例如:C:\Windows\system32\dllhost.exe --do C:\foobar)。
攻击者还会执行一系列命令使恢复或分析变得更困难:
bcdedit /set {default} recoveryenabled no(禁用系统恢复)wbadmin delete catalog -quiet(删除备份目录)wevtutil cl Application(清除应用程序事件日志)
这些操作显示了攻击者的专业性和对Windows系统的深入了解,使得受害者几乎没有恢复的可能,只能考虑支付赎金或依靠事先准备的备份。
微软官方修复方案:立即行动
补丁发布情况
微软已于2025年4月8日(补丁星期二)发布了针对CVE-2025-29824漏洞的安全更新。这些更新包含在4月累积更新包中,适用于受影响的所有Windows版本。
值得注意的是,Windows 11 24H2版本虽然存在该漏洞,但由于系统安全机制的改进(限制了对某些NtQuerySystemInformation API系统信息类的访问),使得当前已知的攻击方式无法在该版本上成功利用漏洞。尽管如此,微软仍建议所有用户安装最新更新以确保系统安全。
更新优先级
微软强烈建议所有Windows用户立即安装这些安全更新。考虑到该漏洞已被积极利用,并且可能导致严重的安全后果,这些更新应被视为最高优先级。
对于无法立即更新的企业环境,应优先保护关键业务系统和面向互联网的服务器。
全面防护建议:构建多层次防御体系
1. 系统更新与补丁管理
立即安装安全更新:通过Windows Update安装最新的安全补丁。可以通过"设置 > 更新和安全 > Windows Update"检查并安装更新。
启用自动更新:对于个人用户,建议启用Windows自动更新功能,确保系统及时获取安全补丁。
建立补丁管理流程:对于企业用户,建立严格的补丁测试和部署流程,确保关键补丁能在最短时间内应用到生产环境。
2. 加强系统防护
启用云端保护:开启Microsoft Defender防病毒的云端保护功能,这可以帮助检测和阻止最新的威胁变种。
启用EDR阻止模式:企业用户应启用Microsoft Defender for Endpoint的EDR阻止模式,即使在非Microsoft防病毒产品未检测到威胁或Microsoft Defender防病毒以被动模式运行时,也能阻止恶意程序。
使用设备发现功能:增加网络可见性,发现网络中未管理的设备并将其纳入Microsoft Defender for Endpoint管理。勒索软件攻击者通常会识别未管理或遗留系统,并利用这些盲点发起攻击。
启用自动调查和修复:允许Microsoft Defender for Endpoint自动处理警报,解决安全漏洞,显著减少警报数量。
3. 网络安全加固
实施网络分段:将网络划分为不同的安全区域,限制不同区域之间的通信,减少攻击扩散的可能性。
限制远程访问:严格控制远程桌面协议(RDP)等远程访问服务,使用VPN和多因素认证保护远程连接。
监控异常流量:部署网络监控工具,检测和阻止可疑的网络活动,特别是与已知恶意域名或IP地址的通信。
4. 数据保护与恢复
实施3-2-1备份策略:保留至少三个数据副本,存储在两种不同的媒介上,其中一个副本保存在异地。
定期测试备份恢复:定期验证备份的完整性并测试恢复流程,确保在发生攻击时能够快速恢复业务。
隔离关键备份:确保至少一份备份与生产网络完全隔离,防止备份也被加密或删除。
考虑不可变存储:使用支持WORM(一次写入多次读取)功能的存储解决方案,防止备份数据被篡改。
5. 安全意识与培训
提高员工安全意识:定期开展安全培训,教育员工识别钓鱼邮件和其他社会工程攻击手段。
建立安全报告机制:鼓励员工报告可疑活动,并确保报告渠道畅通。
模拟演练:定期进行安全事件响应演练,确保团队在真实攻击发生时能够有效应对。
6. 监控与响应
部署端点检测与响应(EDR)解决方案:使用EDR工具监控端点活动,及时发现和响应可疑行为。
建立安全运营中心(SOC) :对于大型企业,考虑建立专门的安全运营团队,24/7监控安全事件。
制定事件响应计划:提前准备详细的安全事件响应流程,包括隔离、调查、恢复和报告等步骤。
7. 针对PipeMagic后门的特定防护
根据微软的分析,攻击者使用PipeMagic后门作为部署CVE-2025-29824漏洞利用程序的跳板。为防范此类攻击,建议:
监控certutil工具的异常使用:特别关注使用certutil从外部网站下载文件的行为。
检测可疑的MSBuild活动:监控非开发环境中的MSBuild.exe异常执行。
关注CLFS BLF文件创建:监控系统中异常的BLF文件创建,特别是在非标准位置如C:\ProgramData目录下。
监控LSASS转储尝试:检测和阻止针对lsass.exe进程的内存转储操作,这通常是凭证窃取的前兆。
监控可疑的dllhost.exe行为:特别注意带有非标准命令行参数的dllhost.exe进程。
总结:安全无小事,行动要迅速
在当今日益复杂的网络安全环境中,像CVE-2025-29824这样的高危零日漏洞提醒我们,网络安全威胁正变得越来越复杂和危险。勒索软件攻击已经从单纯的技术挑战演变为对企业生存的实际威胁,造成的损失可能高达数百万甚至数十亿元。
这次微软紧急修复的Windows通用日志文件系统漏洞具有以下特点:
这些特点使其成为近期最值得关注的高危安全漏洞之一。
为什么必须立即行动?
勒索软件攻击一旦成功,后果往往是灾难性的:
- 恢复成本高昂,包括可能的赎金支付、系统重建和业务中断损失
更令人担忧的是,RansomEXX这样的勒索软件团伙通常会针对高价值目标进行精心策划的攻击,他们有足够的耐心和资源等待最佳时机发动攻击。
立即采取行动
面对这一严重威胁,我们强烈建议所有Windows系统用户:
立即检查并安装更新:无论是个人用户还是企业用户,都应该立即通过Windows Update检查并安装最新的安全更新。
全面评估系统安全状况:使用安全扫描工具检查系统是否存在其他漏洞,并及时修复。
检查是否已被入侵:寻找可疑迹象,如异常的系统行为、未知进程或可疑文件(特别是名为!_READ_ME_REXX2_!.txt的文件)。
备份关键数据:确保重要数据已经备份,并且备份与生产环境隔离。
提高警惕:保持对可疑邮件、链接和下载的警惕,这些可能是攻击的入口点。
安全是一场持久战
网络安全不是一次性的工作,而是需要持续投入的过程。建立完善的安全体系、培养良好的安全习惯、保持系统更新是防范网络威胁的基础。
在这个数字化程度不断深入的时代,网络安全已经成为个人和组织不可忽视的重要议题。希望本文能够帮助您了解CVE-2025-29824漏洞的严重性,并采取必要措施保护您的数字资产安全。
最后,如果您发现系统可能已经受到攻击,请立即断开网络连接,联系专业的安全团队寻求帮助,并考虑向相关网络安全机构报告,共同维护网络空间安全。
参考资料:
- 微软安全响应中心:CVE-2025-29824安全公告
- 微软安全博客:Exploitation of CLFS zero-day leads to ransomware activity
- 美国网络安全和基础设施安全局(CISA):Known Exploited Vulnerabilities Catalog
阅读原文:https://mp.weixin.qq.com/s/ajxDi0Zq4kuJHKVuypG58w
该文章在 2025/4/9 14:38:03 编辑过
400 186 1886
