Microsoft ha recentemente confermato la scoperta di un attacco informatico mirato che ha sfruttato una pericolosa vulnerabilità zero-day nel sistema Windows, ora corretta, per distribuire ransomware tramite un malware noto come PipeMagic.
La falla in questione, identificata come CVE-2025-29824, riguarda il Windows Common Log File System (CLFS) ed è stata corretta nell’ambito dell’aggiornamento Patch Tuesday di aprile 2025. Si tratta di una vulnerabilità di escalation dei privilegi che, se sfruttata, consente agli attaccanti di ottenere accesso di livello SISTEMA, ossia i massimi privilegi disponibili su un dispositivo Windows.
Obiettivi mirati e impatto globale
Gli attacchi condotti con questa tecnica hanno preso di mira un numero selezionato di organizzazioni a livello internazionale. Tra le vittime si contano aziende operanti nei settori IT e immobiliare negli Stati Uniti, il comparto finanziario in Venezuela, una software house spagnola e il settore retail in Arabia Saudita.
La minaccia è attualmente monitorata da Microsoft con il nome in codice Storm-2460, e l’elemento chiave della campagna è PipeMagic, un trojan modulare attivo almeno dal 2022.
Come agisce l’exploit
Sebbene il vettore di infezione iniziale non sia stato ancora identificato con precisione, è emerso che i cybercriminali sfruttano certutil, uno strumento di sistema legittimo, per scaricare malware da siti compromessi. Il payload malevolo è contenuto all’interno di un file MSBuild che, una volta eseguito, decomprime e attiva PipeMagic.
Questo trojan permette all’attaccante di lanciare l’exploit contro il driver kernel CLFS, manipolando la memoria attraverso l’API RtlSetAllBits per modificare il token di accesso del processo, garantendo così privilegi elevati. Una volta ottenuto l’accesso, i criminali possono sottrarre credenziali da LSASS e avviare la cifratura dei file presenti nel sistema.
Un exploit con precedenti noti
CVE-2025-29824 non è la prima vulnerabilità sfruttata tramite PipeMagic. In passato, questo malware era già stato associato alla diffusione di ransomware come Nokoyawa, tramite un’altra vulnerabilità CLFS (CVE-2023-28252), e a un bug nel sottosistema del kernel Win32 (CVE-2025-24983), segnalato da ESET e risolto da Microsoft il mese scorso.
Windows 11 24H2 non vulnerabile
Da notare che la versione Windows 11 24H2 non è affetta da questa vulnerabilità. In essa, l’accesso alle informazioni sensibili del sistema tramite la funzione NtQuerySystemInformation è limitato agli utenti dotati del privilegio SeDebugPrivilege, accessibile solo da account amministrativi.
Possibili legami con il ransomware RansomEXX
Anche se Microsoft non ha potuto analizzare un campione diretto del ransomware utilizzato, l’estensione dei file cifrati e la nota di riscatto contenevano un dominio .onion riconducibile alla famiglia RansomEXX, già nota per attacchi mirati ad alto impatto.
Post-compromissione: l’evoluzione degli attacchi
Secondo Microsoft, le vulnerabilità come CVE-2025-29824 sono estremamente preziose per i gruppi ransomware: una volta ottenuto un primo accesso, questi exploit di elevazione dei privilegi permettono di espandersi rapidamente all’interno della rete aziendale, massimizzando i danni e la portata dell’infezione.
Conclusione: attenzione agli exploit post-accesso
La campagna che coinvolge PipeMagic e la falla CLFS evidenzia ancora una volta l’importanza di aggiornare tempestivamente i sistemi e monitorare costantemente l’ambiente IT per attività sospette post-compromissione. Le tecniche sempre più sofisticate usate dai cybercriminali mostrano che non è più sufficiente fermarsi alla prevenzione dell’accesso: oggi è indispensabile agire anche dopo l’infiltrazione, per limitare l’impatto e contrastare la diffusione di ransomware.
