برمجية PipeMagic تستغل ثغرة يوم الصفر في Windows لتنفيذ هجمات فدية

كشفت شركة مايكروسوفت أن إحدى ثغرات نظام Windows CLFS التي تم إصلاحها مؤخرًا قد استُخدمت سابقًا كثغرة يوم الصفر (Zero-Day) في هجمات فدية موجهة ضد عدد محدود من الأهداف العالمية.

 تفاصيل الثغرة: CVE-2025-29824

• النوع: ثغرة تصعيد امتيازات (Privilege Escalation)

• التأثير: تُمكّن المهاجم من الوصول إلى صلاحيات SYSTEM

• الحالة: تم إصلاحها ضمن تحديثات الثلاثاء (Patch Tuesday) لشهر أبريل 2025

 من هم المستهدفون؟

ذكرت مايكروسوفت أن الجهات المستهدفة تشمل:

• شركات تكنولوجيا المعلومات والعقارات في الولايات المتحدة

• القطاع المالي في فنزويلا

• شركة برمجيات إسبانية

• قطاع التجزئة في المملكة العربية السعودية

 كيف يتم استغلال ثغرة CLFS عبر PipeMagic؟

تُعرف حملة الهجوم هذه بالاسم الرمزي Storm-2460، ويقوم المهاجمون باستخدام برمجية خبيثة تُدعى PipeMagic لتوصيل الاستغلال والبرمجيات الخبيثة.

 آلية الهجوم:

1. الوصول الأولي غير معروف حاليًا

2. استخدام أداة certutil لتنزيل البرمجيات من موقع شرعي تم اختراقه

3. تحميل ملف MSBuild خبيث يحتوي على حمولة مشفرة

4. فك التشفير وتشغيل Trojan PipeMagic، وهو برنامج خبيث يعتمد على مكونات إضافية (Plugins)

5. استغلال الثغرة لتصعيد الامتيازات إلى مستوى SYSTEM

6. استخراج بيانات تسجيل الدخول عبر تفريغ ذاكرة LSASS

7. تشفير الملفات بامتداد عشوائي

8. إسقاط رسالة فدية تحتوي على عنوان على شبكة TOR مرتبط بعائلة RansomEXX للفدية

 ما علاقة PipeMagic بثغرات سابقة؟

• PipeMagic تم ربطه سابقًا بثغرات أخرى في CLFS، مثل:

  • CVE-2025-24983 (ثغرة في Win32 Kernel)

  • CVE-2023-28252 (ثغرة استُغلت من قبل برمجية الفدية Nokoyawa)

ووفقًا لـ Kaspersky، فقد تم استخدام PipeMagic سابقًا كباب خلفي قابل للتعديل يتم تفعيله من خلال ملفات MSBuild.

 هل Windows 11 متأثر؟

الخبر الجيد أن إصدار Windows 11 (24H2) غير متأثر بهذه الثغرة، وذلك بسبب تقييد الوصول إلى بعض فئات معلومات النظام (System Information Classes) في دالة NtQuerySystemInformation، حيث يتطلب الاستغلال وجود صلاحية SeDebugPrivilege المتاحة فقط للمستخدمين ذوي الامتيازات المرتفعة.

 تفاصيل تقنية حول الاستغلال:

قالت Microsoft Threat Intelligence:

“يستغل المهاجم ثغرة في تعريف kernel الخاص بـ CLFS عبر فساد في الذاكرة، باستخدام دالة RtlSetAllBits لاستبدال توكن العملية بالقيمة 0xFFFFFFFF، ما يمنح العملية جميع الصلاحيات اللازمة لتنفيذ حقن العمليات داخل عمليات SYSTEM.”