Microsofts Sicherheitslücke in Windows CLFS: Angriff durch RansomEXX

MÜNCHEN (IT BOLTWISE) – Eine schwerwiegende Sicherheitslücke in Microsofts Windows Common Log File System (CLFS) wurde von der RansomEXX-Ransomware-Gruppe ausgenutzt, um SYSTEM-Rechte auf den betroffenen Systemen zu erlangen.

Microsoft hat bekannt gegeben, dass die RansomEXX-Ransomware-Gruppe eine schwerwiegende Zero-Day-Sicherheitslücke im Windows Common Log File System (CLFS) ausgenutzt hat, um SYSTEM-Rechte auf den Systemen der Opfer zu erlangen. Diese Sicherheitslücke, die als CVE-2025-29824 verfolgt wird, wurde im Rahmen des jüngsten Patch Tuesday behoben und war nur in einer begrenzten Anzahl von Angriffen ausgenutzt worden.

Die Schwachstelle CVE-2025-29824 resultiert aus einer Use-After-Free-Schwachstelle, die es lokalen Angreifern mit niedrigen Rechten ermöglicht, SYSTEM-Rechte in Angriffen mit geringer Komplexität zu erlangen, die keine Benutzerinteraktion erfordern. Während das Unternehmen Sicherheitsupdates für betroffene Windows-Versionen bereitgestellt hat, verzögerte sich die Veröffentlichung von Patches für Windows 10 x64- und 32-Bit-Systeme, die so schnell wie möglich veröffentlicht werden sollen.

Die Angriffe zielten auf Organisationen in verschiedenen Sektoren ab, darunter die Informationstechnologie- und Immobilienbranche in den USA, der Finanzsektor in Venezuela, ein spanisches Softwareunternehmen und der Einzelhandel in Saudi-Arabien. Microsoft betonte, dass Kunden, die Windows 11, Version 24H2 verwenden, nicht von der beobachteten Ausnutzung betroffen sind, auch wenn die Sicherheitslücke vorhanden war. Das Unternehmen rät dringend dazu, die Updates so schnell wie möglich anzuwenden.

Microsoft hat diese Angriffe mit der RansomEXX-Ransomware-Gruppe in Verbindung gebracht, die unter dem Namen Storm-2460 verfolgt wird. Die Angreifer installierten zunächst die PipeMagic-Backdoor-Malware auf kompromittierten Systemen, die zur Bereitstellung des CVE-2025-29824-Exploits, von Ransomware-Payloads und !_READ_ME_REXX2_!.txt-Lösegeldforderungen nach der Verschlüsselung von Dateien verwendet wurde.

Wie ESET letzten Monat berichtete, wurde PipeMagic auch verwendet, um Exploits gegen eine Zero-Day-Schwachstelle im Windows Win32 Kernel Subsystem (CVE-2025-24983) seit März 2023 bereitzustellen. Diese Malware, die 2022 von Kaspersky entdeckt wurde, kann sensible Daten sammeln, bietet vollen Fernzugriff auf infizierte Geräte und ermöglicht Angreifern, zusätzliche bösartige Payloads bereitzustellen, um sich lateral durch die Netzwerke der Opfer zu bewegen.

Im Jahr 2023 entdeckte Kaspersky diese Backdoor bei der Untersuchung von Nokoyawa-Ransomware-Angriffen. Diese Angriffe nutzten eine weitere Zero-Day-Schwachstelle im Windows Common Log File System Driver aus, eine Privilegieneskalationslücke, die als CVE-2023-28252 verfolgt wird.

Die RansomEXX-Ransomware-Operation begann 2018 unter dem Namen Defray, wurde jedoch im Juni 2020 in RansomEXX umbenannt und wurde seitdem deutlich aktiver. Diese Ransomware-Gruppe hat auch hochkarätige Organisationen ins Visier genommen, darunter den Computerhardware-Riesen GIGABYTE, Konica Minolta, das Texas Department of Transportation (TxDOT), das brasilianische Gerichtssystem, das öffentliche Verkehrssystem von Montreal (STM) und den Regierungssoftwareanbieter Tyler Technologies.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.997 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen