{"id":1661815,"date":"2025-04-09T11:02:58","date_gmt":"2025-04-09T11:02:58","guid":{"rendered":"https:\/\/teknomers.com\/es\/pipemagic-trojan-explota-la-vulnerabilidad-de-dia-cero-de-windows-para-implementar-ransomware\/"},"modified":"2025-04-09T11:03:03","modified_gmt":"2025-04-09T11:03:03","slug":"pipemagic-trojan-explota-la-vulnerabilidad-de-dia-cero-de-windows-para-implementar-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/pipemagic-trojan-explota-la-vulnerabilidad-de-dia-cero-de-windows-para-implementar-ransomware\/","title":{"rendered":"Pipemagic Trojan explota la vulnerabilidad de d\u00eda cero de Windows para implementar ransomware"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>09 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad \/ ransomware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Microsoft ha revelado que una falla de seguridad ahora parada que afecta el sistema de archivos de registro com\u00fan de Windows (CLFS) fue explotado como un d\u00eda cero en ataques de ransomware dirigidos a un peque\u00f1o n\u00famero de objetivos.<\/p>\n

“Los objetivos incluyen organizaciones en la tecnolog\u00eda de la informaci\u00f3n (TI) y los sectores de bienes ra\u00edces de los Estados Unidos, el sector financiero en Venezuela, una compa\u00f1\u00eda de software espa\u00f1ola y el sector minorista en Arabia Saudita”, el gigante tecnol\u00f3gico dicho<\/a>.<\/p>\n

La vulnerabilidad en cuesti\u00f3n es CVE-2025-29824, un error de escalada de privilegios en CLF que podr\u00eda explotarse para lograr los privilegios del sistema. Fue arreglado por Redmond como parte de su actualizaci\u00f3n del martes de parche para abril de 2025.<\/p>\n

Microsoft est\u00e1 rastreando la actividad y la explotaci\u00f3n posterior a la compromiso de CVE-2025-29824 bajo el apodo de tormenta-2460, con los actores de amenaza que tambi\u00e9n aprovechan un malware llamado Pipemagic para entregar la exploit y las cargas \u00fatiles de ransomware.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El vector de acceso inicial exacto utilizado en los ataques no se conoce actualmente. Sin embargo, los actores de amenaza se han observado utilizando la utilidad de certutil para descargar malware de un sitio leg\u00edtimo de terceros que anteriormente estaba comprometido para organizar las cargas \u00fatiles.<\/p>\n

El malware es un malicioso Archivo msbuild<\/a> Eso contiene una carga \u00fatil cifrada, que luego se desempaqueta para lanzar Pipemagic, un troyano basado en complementos que se ha detectado en la naturaleza desde 2022.<\/p>\n

Vale la pena mencionar aqu\u00ed que CVE-2025-29824 es el segundo defecto de d\u00eda cero de Windows que se entregar\u00e1 a trav\u00e9s de Pipemagic despu\u00e9s de CVE-2025-24983, un error de escalada de privilegio del subsistema de kernel Windows Win32, que fue marcado por Eset y parcheado por Microsoft el mes pasado.<\/p>\n

Anteriormente, Pipemagic tambi\u00e9n se observ\u00f3 en relaci\u00f3n con los ataques de ransomware Nokoyawa que explotaron otro defecto de d\u00eda cero de CLFS (CVE-2023-28252).<\/p>\n

“En algunos de los otros ataques que atribuimos al mismo actor, tambi\u00e9n observamos que, antes de explotar la vulnerabilidad de la elevaci\u00f3n de privilegio de CLFS, las m\u00e1quinas de la v\u00edctima estaban infectadas con una puerta trasera modular personalizada llamada ‘Pipemagic’ que se lanza a trav\u00e9s de un script MSBuild”, Kaspersky se\u00f1alado<\/a> en abril de 2023.<\/p>\n

Es crucial tener en cuenta que Windows 11, versi\u00f3n 24h2, no se ve afectado por esta explotaci\u00f3n espec\u00edfica, como acceso a ciertas clases de informaci\u00f3n del sistema dentro de NtquerySystemInformation<\/a> est\u00e1 restringido a los usuarios con Sedebugurilegio<\/a>que t\u00edpicamente solo Usuarios de administraci\u00f3n<\/a> puede obtener.<\/p>\n

“El exploit se dirige a una vulnerabilidad en el controlador del n\u00facleo CLFS”, explic\u00f3 el equipo de inteligencia de amenazas de Microsoft. “El exploit utiliza una corrupci\u00f3n de memoria y la API RTLSetAllBits para sobrescribir el token del proceso de exploit con el valor 0xffffffffff, permitiendo todos los privilegios para el proceso, lo que permite la inyecci\u00f3n del proceso en procesos del sistema”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La explotaci\u00f3n exitosa es seguida por el actor de amenaza que extrae las credenciales de los usuarios al descargar la memoria de LSASS y encriptar archivos en el sistema con una extensi\u00f3n aleatoria.<\/p>\n

Microsoft dijo que no pudo obtener una muestra de ransomware para el an\u00e1lisis, pero dijo que la nota de rescate disminuy\u00f3 despu\u00e9s del cifrado inclu\u00eda un dominio TOR vinculado al Ransomexx<\/a> Familia de ransomware.<\/p>\n

“Los actores de amenaza de ransomware valoran la elevaci\u00f3n de los exploits de la elevaci\u00f3n de privilegios porque estos podr\u00edan permitirles escalar el acceso inicial, incluidas las transferencias de distribuidores de malware de productos b\u00e1sicos, al acceso privilegiado”, dijo Microsoft. “Luego usan acceso privilegiado para la implementaci\u00f3n generalizada y la detonaci\u00f3n de ransomware dentro de un entorno”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n