Microsoft oplyser, at RansomEXX-ransomwaregruppen har udnyttet en alvorlig zero-day-sårbarhed i Windows Common Log File System (CLFS) til at opnå SYSTEM-rettigheder på ofrenes systemer.
Sårbarheden, som spores under CVE-2025-29824, blev rettet under denne måneds Patch Tuesday og er kun blevet udnyttet i et begrænset antal angreb. Det skriver mediet Bleeping Computer.
CVE-2025-29824 skyldes en såkaldt 'use-after-free'-svaghed, der gør det muligt for lokale angribere med lave privilegier at opnå SYSTEM-adgang via angreb med lav kompleksitet, hvor der derfor ikke er et behov for brugerinteraktion.
Selvom virksomheden har udgivet sikkerhedsopdateringer til berørte versioner af Windows, har den udsat udrulningen af rettelser til systemer, der kører Windows 10 LTSB 2015. Dog bliver det oplyst, at disse vil blive frigivet hurtigst muligt.
"De berørte mål inkluderer organisationer inden for informationsteknologi (IT) og ejendomssektoren i USA, finanssektoren i Venezuela, en spansk softwarevirksomhed og detailsektoren i Saudi-Arabien," afslørede Microsoft.
"Kunder, der bruger Windows 11 version 24H2, er ikke berørt af den observerede udnyttelse, selvom sårbarheden var til stede. Microsoft opfordrer kunder til at installere disse opdateringer så hurtigt som muligt."
Microsoft kobler disse angreb til RansomEXX-ransomwaregruppen, som spores under navnet Storm-2460. Angriberne installerede først PipeMagic-malwaren på kompromitterede systemer.
Den blev brugt til at udnytte CVE-2025-29824, installere ransomware-payloads samt afpresse ofrene med !READ_ME_REXX2!.txt-beskeder efter filerne var blevet krypteret.
Som ESET rapporterede i sidste måned, er PipeMagic også blevet brugt til at angribe en anden sårbarhed i Windows Win32 Kernel Subsystem (CVE-2025-24983) siden marts 2023.
Malwaren, som blev opdaget af Kaspersky i 2022, kan indsamle følsomme data, give fuld fjernadgang til inficerede enheder og tillade ondsindede angribere at indsætte yderligere skadelig kode og bevæge sig sidelæns gennem ofrenes netværk.
I 2023 opdagede Kaspersky denne bagdør i forbindelse med en undersøgelse af Nokoyawa-angrebet. Disse angreb udnyttede en anden zero-day-sårbarhed i Windows Common Log File System Driver - en rettighedsoptrapsningsfejl kendt som CVE-2023-28252.
RansomEXX-operationen begyndte som 'Defray' i 2018, men blev omdøbt til RansomEXX og blev langt mere aktiv fra juni 2020.
Denne ransomwaregruppe har også angrebet højtprofilerede organisationer, herunder computerproducenten GIGABYTE, Konica Minolta, Texas Department of Transportation (TxDOT), Brasiliens domstolssystem, Montreals offentlige transportsystem STM og den amerikanske leverandør af regeringssoftware Tyler Technologies.
