Em 8 de abril de 2025 (Patch Tuesday), a Microsoft corrigiu o CVE-2025-29824, um use-after-free no driver Windows Common Log File System (CLFS) que permite escalação de privilégios local até o nível SYSTEM. A vulnerabilidade foi explorada como zero-day antes da disponibilidade do patch.
O Microsoft Threat Intelligence Center (MSTIC) identificou exploração ativa pelo grupo Storm-2460, que utilizava o malware PipeMagic para implantar ransomware em vítimas pós-comprometimento. Organizações afetadas incluíam empresas de TI e imobiliárias nos EUA, setor financeiro na Venezuela, empresa de software na Espanha e varejo na Arábia Saudita.
Em maio de 2025, a Microsoft divulgou dois novos CVEs no mesmo componente (CVE-2025-32701 e CVE-2025-32706), tornando o CLFS foco de exploração ativa por dois meses consecutivos. A aplicação imediata das atualizações mensais do Windows é a medida principal de mitigação. Administradores devem priorizar ambientes sem política de atualização automática e verificar logs de segurança para eventos de escalação de privilégio.
Fonte: Microsoft Security Blog.
Fonte e transparência
Fonte original: Microsoft Security Blog
Data de publicação original: 08/04/2025
Status: conteúdo histórico (publicado há mais de 45 dias). Consulte a fonte para atualizações.
O IPSecure Hub resume e contextualiza em português do Brasil. Detalhes ofensivos, PoCs e instruções de exploração não são reproduzidos.
