Logiciel malveillant PipeMagic

Par Mezo en Logiciels malveillants, Vulnérabilité

Se traduisent par :

Des chercheurs ont découvert une vulnérabilité de sécurité, désormais corrigée, dans le système de fichiers journaux communs de Windows (CLFS), activement exploitée lors d'une attaque zero-day. Cette faille a été exploitée dans des campagnes de rançongiciels ciblant des organisations spécifiques dans de nombreux secteurs, notamment les secteurs informatique et immobilier aux États-Unis, des institutions financières au Venezuela, une société de logiciels espagnole et des commerces de détail en Arabie saoudite.

Table des matières

Comprendre la faille CVE-2025-29824

Identifiée sous le numéro CVE-2025-29824, cette vulnérabilité est une faille d'élévation de privilèges dans CLFS qui permet aux attaquants d'obtenir des privilèges de niveau SYSTÈME. Microsoft a corrigé le problème lors de la mise à jour Patch Tuesday d'avril 2025. Le groupe de cybercriminels à l'origine de ces attaques, connu sous le nom de Storm-2460, a déployé une souche de malware appelée PipeMagic pour exploiter la vulnérabilité de sécurité et déployer des charges utiles de rançongiciel.

Comment l’attaque s’est déroulée

Bien que la méthode exacte d'accès initial reste inconnue, les chercheurs ont observé que les attaquants ont utilisé l'utilitaire cert pour télécharger un logiciel malveillant depuis un site web tiers compromis. Le logiciel malveillant, un fichier MSBuild menaçant, contenait une charge utile chiffrée qui, une fois exécutée, lançait PipeMagic. Ce cheval de Troie basé sur un plugin, actif depuis 2022, a joué un rôle central dans l'attaque.

Ce n'est pas la première fois que PipeMagic est utilisé dans des exploits zero-day. Auparavant, il avait exploité CVE-2025-24983, une faille d'élévation de privilèges du sous-système noyau Windows Win32. Il a également été associé aux attaques de rançongiciel Nokoyawa qui exploitaient une autre vulnérabilité zero-day CLFS, CVE-2023-28252. De plus, des experts en cybersécurité ont signalé que lors d'attaques antérieures attribuées au même acteur malveillant, PipeMagic avait été déployé via un script MSBuild avant d'exploiter la vulnérabilité d'élévation de privilèges CLFS.

L’exploitation et son impact

L'attaque cible explicitement une vulnérabilité du pilote du noyau CLFS. En exploitant la corruption de mémoire et en utilisant l'API RtlSetAllBits, les attaquants écrasent le jeton du processus d'exploitation avec 0xFFFFFFFF, accordant ainsi tous les privilèges. Cela leur permet d'injecter des processus non sécurisés dans les processus SYSTEM, prenant ainsi le contrôle de la machine infectée. Après l'exploitation, les pirates extraient les identifiants des utilisateurs en vidant la mémoire LSASS et en chiffrant les fichiers système avec une extension générée aléatoirement. Une demande de rançon contenant un domaine TOR lié à la famille de ransomwares RansomEXX est ensuite envoyée.

Mesures de sécurité et de défense

Malgré la gravité de l'attaque, Windows 11, version 24H2, n'est pas concerné par cette exploitation spécifique. Cela est dû aux restrictions de sécurité appliquées à certaines classes d'informations système dans NtQuerySystemInformation, qui limitent l'accès aux utilisateurs disposant de SeDebugPrivilege, autorisation généralement accordée uniquement aux administrateurs.

Les auteurs de ransomwares continuent de privilégier l'élévation des privilèges après compromission, car cela leur permet de transformer l'accès initial en un contrôle plus large au sein d'un réseau. En exploitant des exploits comme CVE-2025-29824, ils peuvent étendre leur portée, obtenir un accès privilégié et déployer des ransomwares aux conséquences dévastatrices. Les organisations doivent rester vigilantes, appliquer rapidement les correctifs de sécurité, surveiller les activités inhabituelles du système et mettre en place des contrôles d'accès stricts afin de réduire les risques liés à ces cybermenaces en constante évolution.