گروه باجافزار RansomEXX از نقص امنیتی با شناسه CVE-2025-29824 ناشی از نقص use-after-free در Common Log File System (CLFS) ویندوز برای به دست آوردن دسترسی SYSTEM در سیستمهای قربانیان سوء استفاده کرد.
این آسیبپذیری که در Patch Tuesday ماه آوریل وصله شده است، در حملات کم پیچیدگی بدون نیاز به تعامل کاربر امکان کسب دسترسی SYSTEM را برای نفوذگران محلی با سطح دسترسی کم فراهم میسازد. همچنین در تعداد محدودی از حملات در ایالات متحده، ونزوئلا، اسپانیا و عربستان سعودی و برزیل اکسپلویت شده است. کاربرانی که ویندوز 11، نسخه 24H2 را اجرا می کنند حتی اگر آسیبپذیری وجود داشته باشد، تحت تاثیر اکسپلویت مشاهده شده قرار نمیگیرند. مایکروسافت این حملات را به باجافزار RansomEXX معروف به Storm-2460، مرتبط دانست. نفوذگران ابتدا بدافزار دربپشتی PipeMagic را روی سیستمهای در معرض خطر نصب کردند که برای استقرار اکسپلویت CVE-2025-29824، پیلودهای باجافزار و یادداشتهای باج پس از رمزگذاری فایلها مورد استفاده قرار گرفته است. این بدافزار دارای قابلیت جمعآوری دادههای حساس، فراهمسازی دسترسی کامل از راه دور به دستگاههای آلوده و استقرار پیلودهای مخرب اضافی برای نفوذگران جهت حرکت جانبی در شبکههای قربانیان است.
https://www.bleepingcomputer.com/news/security/microsoft-windows-clfs-zero-day-exploited-by-ransomware-gang
https://thehackernews.com/2025/04/pipemagic-trojan-exploits-windows-clfs.html
https://thehackernews.com/2025/04/pipemagic-trojan-exploits-windows-clfs.html
