A Microsoft revelou que uma falha de segurança no Windows Common Log File System (CLFS), agora corrigida, foi explorada como zero day em ataques de ransomware contra alvos específicos em diversos setores. A vulnerabilidade, identificada como CVE-2025-29824, é um bug de elevação de privilégio que poderia permitir a obtenção de permissões de nível SYSTEM. O patch foi disponibilizado pela empresa na atualização de segurança de abril de 2025. Os alvos incluem organizações dos setores de tecnologia da informação e imobiliário nos Estados Unidos, instituições financeiras na Venezuela, uma empresa de software na Espanha e o setor de varejo na Arábia Saudita.

A Microsoft está monitorando a campanha maliciosa sob o codinome Storm-2460, apontando que os atores responsáveis usaram um malware chamado PipeMagic tanto para explorar a falha quanto para distribuir cargas de ransomware. O vetor inicial de acesso ainda não foi identificado, mas os invasores utilizaram a ferramenta certutil, nativa do Windows, para baixar o malware de um site legítimo previamente comprometido. O arquivo malicioso é um script MSBuild com um payload criptografado que, uma vez decodificado, executa o PipeMagic — um trojan modular com plugins, detectado desde 2022.

Vale lembrar que esta é a segunda falha zero day explorada pelo PipeMagic: a primeira foi a CVE-2025-24983, uma vulnerabilidade no subsistema Win32 do kernel do Windows, também corrigida recentemente. O PipeMagic já havia sido associado a ataques do ransomware Nokoyawa, os quais exploraram outra falha no CLFS (CVE-2023-28252), evidenciando o histórico do grupo com vulnerabilidades de escalonamento de privilégios. Segundo a empresa, a falha não afeta o Windows 11 versão 24H2, pois esse sistema restringe o acesso a certas classes de informação do sistema apenas a usuários com o privilégio SeDebugPrivilege, geralmente administradores.