Microsoft ha dado la voz de alarma sobre una nueva vulnerabilidad de día cero (zero-day) en el sistema de archivos de registro común de Windows (CLFS). Lo preocupante es que este fallo de seguridad, identificado como CVE-2025-29824, ya está siendo explotado activamente por ciberdelincuentes para escalar privilegios en sistemas comprometidos y, en última instancia, desplegar ransomware.
¿Qué es CVE-2025-29824?: El fallo en CLFS
El Common Log File System (CLFS) es un componente interno de Windows que permite a las aplicaciones registrar eventos de forma eficiente. La vulnerabilidad CVE-2025-29824 reside en el controlador del kernel de CLFS. Su explotación exitosa permite a un atacante que ya ha conseguido acceso inicial con una cuenta de usuario estándar, elevar sus privilegios dentro del sistema. Esto significa que un intruso con permisos limitados podría obtener control casi total sobre el ordenador afectado.
Al ser una vulnerabilidad de tipo zero-day, significa que los atacantes la descubrieron y empezaron a explotarla antes de que existiera un parche oficial, lo que aumenta significativamente el riesgo para los usuarios y organizaciones.
Storm-2460: El grupo tras los ataques
Microsoft atribuye la campaña de explotación al grupo de ciberdelincuentes denominado Storm-2460. Este grupo está utilizando la vulnerabilidad como parte de una cadena de ataque más compleja:
- Acceso inicial: Aunque Microsoft no ha determinado los vectores exactos de acceso inicial, ha observado que los atacantes usan utilidades como
certutilpara descargar malware desde sitios web legítimos previamente comprometidos. - Malware Intermedio (PipeMagic): Se despliega un malware conocido como PipeMagic. Curiosamente, este mismo malware ya se había asociado anteriormente con la explotación de otras vulnerabilidades zero-day.
- Explotación de CVE-2025-29824: Una vez PipeMagic está activo, lanza el exploit contra CLFS para ganar privilegios elevados en el sistema.
- Robo de Credenciales: Con privilegios elevados, los atacantes utilizan herramientas como
procdump.exepara volcar la memoria del proceso LSASS y extraer credenciales de usuario. - Despliegue de Ransomware: Finalmente, utilizando los privilegios y credenciales obtenidos, Storm-2460 despliega ransomware en la red de la víctima. Se ha vinculado esta actividad con la familia de ransomware RansomEXX, basándose en las notas de rescate y dominios .onion observados.
Los objetivos confirmados hasta ahora incluyen sectores variados como tecnología y bienes raíces en EE.UU., el sector financiero en Venezuela, una empresa de software española y el sector minorista en Arabia Saudí.
Detalles técnicos relevantes
El exploit funciona manipulando la memoria a través del controlador CLFS. Utiliza la API NtQuerySystemInformation para obtener direcciones del kernel y luego una corrupción de memoria junto con RtlSetAllBits para modificar el token de seguridad del proceso atacante, otorgándole todos los privilegios. Durante la explotación, se crea un archivo específico en la ruta C:\ProgramData\SkyPDF\PDUDrv.blf.
Un dato interesante es que, debido a cambios de seguridad introducidos en Windows 11 versión 24H2, el método específico que usa este exploit para obtener direcciones del kernel mediante NtQuerySystemInformation ya no funciona para usuarios estándar. Por lo tanto, aunque la vulnerabilidad estuviera presente, esta versión de Windows 11 está protegida contra esta técnica concreta de explotación.
La importancia de escalar privilegios para el ransomware
La escalada de privilegios es un paso crucial para los atacantes de ransomware. Les permite pasar de un punto de entrada inicial, a menudo limitado, a tener un control administrativo sobre los sistemas. Con este control, pueden desactivar medidas de seguridad, moverse lateralmente por la red, acceder a datos sensibles y desplegar el ransomware de forma masiva, maximizando el impacto y la probabilidad de obtener un rescate.
Respuesta de Microsoft: Parche disponible y recomendaciones
Afortunadamente, Microsoft ya ha publicado una actualización de seguridad para corregir la vulnerabilidad CVE-2025-29824. El parche se lanzó el 8 de abril de 2025.
- Aplicar actualizaciones: Se recomienda encarecidamente a todos los usuarios y administradores de sistemas Windows que apliquen esta actualización lo antes posible.
- Protección adicional en Win11 24H2: Como se mencionó, los usuarios de Windows 11, versión 24H2, están protegidos contra la técnica de explotación observada.
- Herramientas de detección: Microsoft ha actualizado sus productos de seguridad (Defender Antivirus, Defender for Endpoint, Sentinel) para detectar y alertar sobre actividades relacionadas con PipeMagic, el exploit CLFS y el ransomware asociado.
- Mitigaciones generales: Además de parchear, se aconseja seguir buenas prácticas de seguridad, como limitar privilegios de usuario, monitorizar actividades sospechosas (como el volcado de LSASS) y tener planes de respuesta a incidentes.
Actúa rápido para protegerte
La explotación activa de la vulnerabilidad CVE-2025-29824 subraya la constante amenaza que representan los ataques de ransomware y la importancia de mantener los sistemas actualizados. Aplicar el parche de seguridad liberado por Microsoft es la medida más efectiva para protegerse contra esta amenaza específica. La vigilancia continua y el uso de herramientas de seguridad robustas son esenciales para defenderse de actores como Storm-2460.