Windows CLFS-Sicherheitslücke: Gefahr durch Ransomware

Microsoft hat eine kritische Sicherheitslücke im Windows Common Log File System (CLFS) identifiziert, die von Ransomware-Angreifern aktiv ausgenutzt wird. Die Schwachstelle, bekannt als CVE-2025-29824, ermöglicht es Angreifern, Systemprivilegien zu erlangen und gefährdet somit zahlreiche Systeme weltweit. Diese Lücke wurde von der Gruppe Storm-2460 genutzt, um gezielte Angriffe auf verschiedene Sektoren durchzuführen.

Die Sicherheitslücke CVE-2025-29824 ist ein Zero-Day-Exploit, der eine Privilegieneskalation im CLFS-Kerntreiber ermöglicht. Durch die Ausnutzung dieser Schwachstelle können Angreifer, die als Standardbenutzer agieren, erhöhte Rechte erlangen. Dies geschieht durch eine Speicherbeschädigung und die Nutzung der RtlSetAllBits API, um das Token des Exploit-Prozesses zu überschreiben und alle Privilegien zu aktivieren.

Der Exploit wird durch die PipeMagic-Malware bereitgestellt, die eine bösartige MSBuild-Datei nutzt, um eine verschlüsselte Nutzlast zu entpacken und auszuführen. Diese Malware wurde bereits in Verbindung mit anderen Zero-Day-Exploits beobachtet, darunter CVE-2025-24983.

Die schnelle Behebung dieser Sicherheitslücke durch Microsoft bietet Nutzern einen entscheidenden Vorteil: den Schutz vor potenziell verheerenden Ransomware-Angriffen. Durch die Anwendung der bereitgestellten Sicherheitsupdates können Organisationen die Gefahr einer Kompromittierung ihrer Systeme erheblich reduzieren und ihre Daten vor unbefugtem Zugriff schützen.

Microsoft hat am 8. April 2025 Sicherheitsupdates veröffentlicht, die die Schwachstelle CVE-2025-29824 adressieren. Diese Updates stehen für Windows Server und Windows 11 zur Verfügung, während ein Patch für Windows 10 noch aussteht. Nutzer werden dringend aufgefordert, die Updates umgehend zu installieren, um ihre Systeme zu sichern.