Un nouveau malware ciblant Windows a récemment exploité une faille de sécurité zero-day dans le composant CLFS du système Microsoft, déclenchant une vague d’attaques par rançongiciel à l’échelle mondiale. Microsoft a révélé que cette vulnérabilité, désormais corrigée, a été utilisée dans des attaques très ciblées visant divers secteurs, dont les technologies de l’information, la finance et le commerce de détail. Le trojan PipeMagic a été au cœur de cette opération orchestrée par un groupe d’acteurs menaçants suivi sous le nom de Storm-2460. Retour sur une menace sophistiquée qui met en lumière l’évolution permanente des techniques d’intrusion sur Windows.
Une faille zero-day dans CLFS exploitée pour installer des rançongiciels
Une vulnérabilité critique affectant Windows
La brèche exploitée, identifiée comme CVE-2025-29824, est une faille d’élévation de privilèges dans le composant Windows Common Log File System (CLFS). Cette vulnérabilité permet à un acteur malveillant d’obtenir des privilèges SYSTEM sur la machine cible, ouvrant la voie à une prise de contrôle complète du système. Microsoft a corrigé cette faille lors de son Patch Tuesday d’avril 2025.
Windows 11 version 24H2 est épargné par cette exploitation, grâce à des restrictions d’accès spécifiques aux classes d’information système via l’API NtQuerySystemInformation. Seuls les utilisateurs disposant de droits administratifs peuvent y accéder, rendant plus difficile une compromission sur cette version du système.
Des cibles variées à l’échelle internationale
Selon les analyses de Microsoft, les groupes attaquants ont visé un nombre limité mais stratégique d’organisations : des entreprises technologiques aux États-Unis, le secteur financier au Venezuela, une société de logiciels en Espagne, et une enseigne du commerce de détail en Arabie Saoudite. Les attaques étaient soigneusement planifiées pour avoir un impact maximal sur ces structures spécifiques.
Le rôle du trojan PipeMagic dans l’infection
Un trojan modulaire diffusé via MSBuild
Les cybercriminels ont utilisé un fichier MSBuild malveillant contenant une charge utile chiffrée. Une fois lancé, ce fichier déploie PipeMagic, un cheval de Troie modulaire actif depuis au moins 2022. Ce malware, plugin-based, a la capacité d’exécuter diverses fonctions, notamment la livraison de rançongiciel et l’extraction de données sensibles.
L’accès initial dans ces campagnes reste incertain, mais les attaquants ont été vus en train d’utiliser l’utilitaire certutil pour récupérer le malware hébergé sur un site tiers légitime compromis. Cette tactique leur permet d’échapper à la détection classique en utilisant des moyens standards du système d’exploitation pour infecter la cible.
Une précédente utilisation dans d’autres campagnes
PipeMagic avait déjà été observé dans des attaques utilisant les failles CVE-2025-24983 et CVE-2023-28252, toutes deux des failles d’élévation de privilèges dans Windows. Le lien avec les campagnes Nokoyawa ransomware atteste d’un usage répété de cette technologie malveillante par des acteurs persistants à la recherche de failles non corrigées pour propager des rançongiciels massivement.
Données volées et chiffrement des fichiers
Extraction d’identifiants et note de rançon
Une fois les privilèges SYSTEM obtenus, les pirates exécutent une série d’actions post-exploitation. Cela comprend le dump de la mémoire du processus LSASS pour voler les informations d’identification des utilisateurs, avant de chiffrer les fichiers du système. Les fichiers sont renommés avec une extension aléatoire, laissant derrière eux une note contenant une URL vers un domaine en .onion identifié comme appartenant au rançongiciel RansomEXX.
Microsoft souligne que ces attaques démontrent l’intérêt croissant des cybercriminels pour l’élévation de privilèges post-compromission, leur permettant de transformer un accès initial via malware générique en contrôle complet de l’environnement IT visé.
Une attaque révélatrice des méthodes modernes
Le groupe Storm-2460 utilise l’API RtlSetAllBits pour écraser le token du processus en cours. Cela permet d’activer tous les privilèges et d’injecter du code dans les processus système. Cette méthode de corruption de mémoire souligne le niveau technique élevé de cette campagne. Pour ceux qui souhaitent explorer ce type de techniques, notre livre pour hacker offre une présentation détaillée des mécanismes d’exploitation et de compromission utilisés par les professionnels de la cybersécurité comme par les attaquants.
Face à la montée en puissance des attaques sophistiquées exploitant des failles zero-day, CyberCare propose à ses clients des services de gestion des vulnérabilités, d’audit de sécurité système et de detection de malware en entreprise pour renforcer votre niveau de cybersécurité face à ces nouvelles menaces.
