Kanoktuch – shutterstock.com
Sicherheitsforscher von Microsoft haben eine Schwachstelle im CLFS-Treiber (Common Log File System) von Windows entdeckt, die Angreifern Systemrechte verleiht. Sie wird als CVE-2025-29824 geführt, die mit einem CVSS-Wert von 7,8 über einen hohen Schweregrad verfügt.
Laut einem Blogbeitrag der Forscher wurde die Lücke bereits für Ransomware-Attacken missbraucht. Demnach basiert sie auf einem Use-after-free-Bug (CWE-416). Dieser ermöglicht es Angreifern mit lokalem Zugriff und einfachen Benutzerrechten, ihre Rechte auszuweiten.
Ransomware-Angriffe starten per Backdoor
Zudem stellten die Microsoft-Mitarbeiter fest, dass die Ransomware über eine Backdoor-Malware namens Pipemagic eingeschleust wurde. Die Angriffe zielen dabei auf Netzwerke von Unternehmen aus den Bereichen IT, Softwareentwicklung, Immobilien, Finanzen und Einzelhandel.
Nach Angaben des Security-Anbieters Kaspersky trat Pipemagic erstmals im Jahr 2022 in Erscheinung. Durch die Backdoor erhalten Angreifer einen Fernzugriff auf infiltrierte Geräte. Auf diese Weise können sie weitere Malware nachladen oder Daten vom Zielsystem exfiltrieren.
Microsoft führt die jüngsten Angriffe auf die Hackerbande Storm-2460 zurück. Demzufolge nutzt die Gruppe die Pipemagic-Backdoor, um Systeme mit der Ransomware RansomEXX zu infiltrieren.
Patches verfügbar
Um die Windows-Lücke (CVE-2025-29824) zu schließen, hat Microsoft am 8. April Sicherheitsupdates veröffentlicht. Wer sich schützen will, sollte diese schnellstmöglich installieren. Die Patches sind für fast alle Versionen von Windows 10 und 11 sowie Windows Server 2008 (R2), 2012 (R2), 2016, 2019, 2022 und 2025 verfügbar.
Unter Windows 11 24H2 ließ sich der beobachtete Exploit laut Microsoft aufgrund neuer Sicherheitsvorkehrungen gar nicht ausnutzen. Die Angreifer hätten in diesem Fall vorab Adminrechte benötigt. Trotzdem hat der Tech-Konzern auch für diese Windows-Variante einen Patch bereitgestellt.
No Responses