विंडोज झिरो-डे असुरक्षा सीव्हीई -2025-29824 उघडकीस

हायलाइट्स:

• सीव्हीई -2025-29824 सिस्टम-स्तरीय प्रवेश मिळविण्यासाठी एक गंभीर विंडोज शून्य-दिवस असुरक्षा आहे.
• वादळ -2460 गटाने जागतिक स्तरावर विविध क्षेत्रांमध्ये रॅन्समवेअर तैनात करण्यासाठी या त्रुटीचा वापर केला.
• मायक्रोसॉफ्टने विंडोज सर्व्हर आणि विंडोज 11 साठी पॅचेस सोडले; विंडोज 10 अद्यतने उशीर झाली.
• संस्थांनी पॅचेस लागू केले पाहिजेत, सिस्टम क्रियाकलापांचे परीक्षण केले पाहिजे आणि अशा धोक्यांपासून संरक्षण करण्यासाठी प्रगत सुरक्षा उपायांची अंमलबजावणी करावी.

एप्रिल २०२25 मध्ये, मायक्रोसॉफ्टने विंडोजद्वारे वापरल्या जाणार्‍या कॉमन लॉग फाइल सिस्टम (सीएलएफएस) ड्रायव्हर (सीएलएफएस) ड्रायव्हर (सीएलएफएस) मध्ये एक गंभीर शून्य -दिवसाची असुरक्षा, सीव्हीई – 2025-229824 पॅच केली, ज्यामुळे स्थानिक विशेषाधिकार वाढण्यास परवानगी मिळाली. सीव्हीएसएस व्ही 3.1 हे उच्च तीव्रता स्कोअर 7.8 नियुक्त करते, ज्यामुळे कोणत्याही अधिकृत स्थानिक वापरकर्त्यास वापरकर्त्याच्या संवादाची आवश्यकता न घेता सिस्टम विशेषाधिकारांना उन्नत करण्यास सक्षम केले जाते. मायक्रोसॉफ्ट आणि सायबरसुरिटी टीमकडून तातडीने कारवाई सुरू केल्यामुळे वास्तविक जगातील हल्ल्यांमध्ये अत्याधुनिक विरोधकांनी या वापर-नंतर-मुक्त कमकुवतपणा (सीडब्ल्यूई-416) चा गैरफायदा घेतला.

शोध, प्रभाव आणि शोषणाचे लक्ष्य

मायक्रोसॉफ्टच्या धमकी इंटेलिजेंस सेंटर आणि सिक्युरिटी रिस्पॉन्स सेंटरच्या मते, स्टॉर्म -2460 नावाची एक धमकी संस्था या सीएलएफएस असुरक्षिततेचे सक्रियपणे शोषण करीत असल्याचे आढळले. या गटाने शून्य-दिवस मेमरीमध्ये कार्यान्वित केले आणि पाइपेमॅजिक नावाच्या सानुकूल लोडरचा वापर करून तडजोड केलेल्या सिस्टमवर उन्नत विशेषाधिकार.

लक्षणीय लक्ष्यांमध्ये सौदी अरेबियन किरकोळ कंपन्या, व्हेनेझुएला मधील वित्तीय संस्था, एक स्पॅनिश सॉफ्टवेअर कंपनी आणि अमेरिकेच्या रिअल इस्टेटमधील कंपन्या आणि आयटी क्षेत्रांचा समावेश होता. स्वतंत्रपणे, अधिकृत पॅचच्या आधी, नाटक (बलूनफ्लाय) रॅन्समवेअर कुटुंबाशी संबंधित हल्लेखोरांनी देखील शोषण केले सीव्हीई -2025-29824? सिमॅन्टेकला आढळले की अमेरिके-आधारित कंपन्यांविरूद्ध हल्ल्यांमध्ये पालो अल्टो नेटवर्क टूल्स (जसे की “पालोल्टोकॉन्फिग.एक्सई”) म्हणून पोझिंग फोल्डर्समध्ये हे शोषण तैनात केले गेले होते.

तांत्रिक शरीरशास्त्र

त्याच्या मुख्य भागावर, सीव्हीई – 2025-229824 रेस अट ऑर्केस्ट्रेट करण्यासाठी दोन थ्रेड्समध्ये फेरफार करून सीएलएफएस ड्रायव्हरमध्ये वापराच्या नंतरच्या वापराचा गैरवापर करतो.

या अभियांत्रिकीने हल्लेखोरांना विशेषाधिकार वाढविण्यास, क्रेडेन्शियल डंप (एलएसएएसएस मार्गे) कार्यान्वित करण्यास, पार्श्वभूमीची हालचाल वाढविण्यास, लॉगसह छेडछाड, बॅकअप हटविण्याची आणि संभाव्य खंडणीसाठी आधारभूत काम करण्यास अनुमती दिली, विशेषत: वादळात – 2460 हल्ल्यांमध्ये, जेथे नंतर पूर्ण एन्क्रिप्शन नंतर.

हल्ला साखळी आणि ransomware उपयोजन

सहसा, कमोडिटी मालवेयर (शून्य-दिवसाशी संबंधित नसलेले) वापरणारा पहिला उल्लंघन संपूर्ण हल्ला विकासाच्या आधी होता. मायक्रोसॉफ्ट इन्व्हेस्टिगेशननुसार, अभिनेत्यांनी दुर्भावनायुक्त एमएसबिल्ड प्रोजेक्ट ड्रॉप करण्यासाठी सर्टुटिलचा वापर केला, ज्याने नंतर एनमॅकलेन्डरिनफोआ एपीआय डीकोड आणि एक अत्याधुनिक लोडर चालविण्यासाठी वापरला. सीएलएफच्या यशस्वी शोषणामुळे सिस्टममध्ये वाढ होणे, पेलोड अंमलात आणणे आणि रॅन्समवेअरचा प्रसार करण्यास सज्ज होणे शक्य झाले.

शेवटी, रॅन्समवेअर वादळ -2460 घटनांमध्ये वापरला गेला. कस्टम रॅन्सम नोट्स रॅन्सोमॅक्सएक्स शैलीतील कांदा डोमेनला निर्देशित करणे, विस्तृत लॉग क्लीनअप आणि रिकव्हरी क्षमता बंद करण्यासाठी रेजिस्ट्री बदल ही सर्व तडजोडीची चिन्हे होती.

रॅन्समवेअर हल्ल्यांमध्ये स्थानिक शोषणासाठी समान सीएलएफ असुरक्षितता वापरली गेली, परंतु त्यांनी रॅन्समवेअरचा प्रसार केला नाही. त्याऐवजी, त्यांनी अ‍ॅक्टिव्ह डिरेक्टरीमध्ये जादू करण्यासाठी पॉवरशेलचा वापर केला आणि माहिती-चोरी प्रोग्राम ग्रिक्सबा लाँच केला.

मायक्रोसॉफ्टचा पॅच आणि प्रभावित प्लॅटफॉर्म

मायक्रोसॉफ्टने सीव्हीई – 2025-229824 ला संबोधित केले मंगळवारी 8 एप्रिल 2025 रोजी रिलीजमध्ये, विंडोज 10 (प्री – 21 एच 2 बिल्ड्स), प्लस सर्व्हर 2008, 2012 आणि 2012 आर 2 मध्ये विविध प्रकारच्या विंडोज आवृत्त्या समाविष्ट केल्या. सल्लागार हायलाइट करते की विंडोज 11 आवृत्ती 24 एच 2 आणि नवीन असुरक्षितता अस्तित्त्वात असले तरीही, शोषण यंत्रणेद्वारे अप्रभावित आहेत. काही विंडोज 10 एसकेयूसाठी अद्यतने उशीर झाली; त्यानंतर प्रलंबित पॅचेस त्वरित नियोजित केले गेले.

सीआयएसएने सीव्हीई – 2025-229824 एक ज्ञात शोषक असुरक्षा म्हणून ओळखले, 8 एप्रिल रोजी त्याच्या कॅटलॉगमध्ये स्पष्टपणे सूचीबद्ध केले आणि 29 एप्रिलपर्यंत फेडरल सिव्हिलियन एक्झिक्युटिव्ह शाखा प्रणालींसाठी सेवा कमी करणे किंवा सेवांचे व्यत्यय आणले. मायक्रोसॉफ्टने डिफेंडर, एंडपॉईंट डिटेक्शन आणि रिस्पॉन्स (ईडीआर) आणि डिव्हाइस डिस्कवरीमध्ये संरक्षण-सखोल वाढविण्यासाठी क्लाउड-आधारित संरक्षण सक्षम करण्याची शिफारस केली.

शोषण आणि शोधण्याच्या उपायांची चिन्हे

मायक्रोसॉफ्ट आणि सायबरसुरिटी फर्मांनी तडजोड (आयओसी) आणि शोध मार्गदर्शक तत्त्वांचे संकेतक सोडले.

लॉगपॉईंट, सिमॅन्टेक आणि टेनेबलने पॉवरशेल अ‍ॅड गणनासाठी शोधण्याचे निकष उघड केले, ज्याला पाईपमॅजिक लोडर्सद्वारे पाईप जनरेशन म्हणतात आणि रॅन्समवेअर क्रियाकलाप, डीएलएल इंजेक्शन्स आणि क्रेडेन्शियल डंपसाठी क्लाऊड-वितरित डिफेंडर चेतावणी दिली.

मल्टी-प्लॅटफॉर्म धमकी बुद्धिमत्ता डिफेंडरला नामित पाईप क्रिएशन्स किंवा विचित्र पालकांच्या प्रक्रियेस शोधण्यासाठी प्रोत्साहित करते जे एमएसबिल्ड/एमएसबीयूल्ड.एक्सई स्पॉन करते. रेजिस्ट्री डंप किंवा इव्हेंट लॉगमध्ये फाइल हटविण्याच्या ईडीआर चेतावणीची त्वरित तपासणी देखील केली पाहिजे.

परिणाम आणि सामरिक टेकवे

सीव्हीई-2025-229824 एक वाढत्या ट्रेंडला हायलाइट करते: सिस्टम-स्तरीय विशेषाधिकार मिळविण्यासाठी आणि सतत, उच्च-प्रभाव क्रियाकलाप स्थापित करण्यासाठी शून्य-दिवसातील त्रुटींचे शोषण करणारे रॅन्समवेअर कलाकार. असे शून्य-दिवसाचे हल्ले असामान्य असले तरी, त्यांच्या संभाव्य पेऑफमुळे त्यांना शस्त्रास्त्रेमध्ये मोठ्या प्रमाणात गुंतवणूक करण्यासाठी रॅन्समवेअर ऑपरेटर आहेत. सीएलएफ, मेमरी चोरी, बॅकअप हटविणे आणि लॉग वाइपिंगसह पेअर केलेले, सायबरसुरक्षा बचावाचा नाश करू शकतात आणि पुनर्प्राप्ती गुंतागुंत करू शकतात.

मायक्रोसॉफ्टचे रॅपिड पॅच रीलिझ आणि अप्रभावित प्रणालींच्या आसपासचे स्पष्टीकरण (विंडोज 11 प्रमाणे) शोषण रोखण्यात महत्त्वपूर्ण होते. तथापि, काही ओएस प्रकारांसाठी प्रारंभिक विलंब एंटरप्राइझ वातावरणात एकाधिक शमन नियंत्रणाचे महत्त्व अधोरेखित करतात.

निष्कर्ष

सीव्हीई – 2025-229824 एक तीव्र स्मरणपत्र आहे की कर्नल ड्रायव्हरच्या असुरक्षाद्वारे विशेषाधिकार वाढविणे आधुनिक रॅन्समवेअर आणि पोस्ट -तणावग्रस्त रणनीतींचा एक आधार आहे. सीएलएफएस ड्रायव्हरमध्ये वापर-नंतर-फ्री बगचे शोषण करून, हल्लेखोरांनी वारंवार संपूर्ण सिस्टम विशेषाधिकार, डंप्ड क्रेडेन्शियल्स, अक्षम केलेले बॅकअप आणि जागतिक लक्ष्यांवर रॅन्समवेअर तैनात केले. मायक्रोसॉफ्टची स्विफ्ट पॅच उपयोजन, सहयोगी शोध आणि शमन साधनांसह एकत्रित, परिणामावर परिणाम करण्यास मदत करते, परंतु बचावकर्त्यांनी जागरुक राहिले पाहिजे.

केवळ पॅचिंगच नव्हे तर व्यापक रणनीती आवश्यक आहेत: वेगवान अद्यतने, ईडीआर/एक्सडीआर दत्तक, आयओसी-चालित शोध आणि घटनेची तयारी. धमकी कलाकार विकसित होत असताना, स्तरित बचाव, सक्रिय देखरेख आणि शून्य-विश्वासार्ह पद्धती यापुढे पर्यायी नाहीत; ते आवश्यक आहेत.