Microsoft phát hiện nhóm tin tặc RansomEXX lợi dụng lỗ hổng zero-day trong hệ thống Windows CLFS để chiếm quyền kiểm soát hệ thống và mã hóa dữ liệu của nhiều tổ chức trên toàn cầu.
Theo đó, Microsoft mới đây cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong hệ thống Windows Common Log File System (CLFS), được khai thác bởi nhóm mã độc tống tiền RansomEXX để chiếm quyền hệ thống (SYSTEM) trên máy tính nạn nhân.
Lỗ hổng này, được định danh là CVE-2025-29824, thuộc dạng “use-after-free” – cho phép kẻ tấn công tại chỗ (local attacker) với quyền hạn thấp có thể nâng quyền lên SYSTEM mà không cần tương tác từ người dùng. Microsoft đã khắc phục lỗi này trong bản vá bảo mật tháng 4, đồng thời cho biết số lượng vụ khai thác lỗ hổng này hiện còn hạn chế.
Hiện tại, bản vá đã được cung cấp cho hầu hết các phiên bản Windows bị ảnh hưởng. Tuy nhiên, bản cập nhật cho Windows 10 (cả 64-bit và 32-bit) vẫn đang được hoàn thiện và sẽ sớm được phát hành.
Microsoft cho biết các mục tiêu bị tấn công thuộc nhiều lĩnh vực như công nghệ thông tin và bất động sản tại Hoa Kỳ, lĩnh vực tài chính ở Venezuela, một công ty phần mềm tại Tây Ban Nha, và ngành bán lẻ ở Ả Rập Xê Út. Đáng chú ý, người dùng hệ điều hành Windows 11 phiên bản 24H2 không bị ảnh hưởng bởi cuộc tấn công, dù lỗ hổng vẫn tồn tại trong hệ thống.
Lỗ hổng này được khai thác thông qua phần mềm độc hại PipeMagic – một backdoor đã được cài vào hệ thống nạn nhân. Qua đó, tin tặc triển khai mã độc khai thác CVE-2025-29824, mã ransomware và để lại thông điệp đòi tiền chuộc dưới dạng file !READ_ME_REXX2!.txt.
Theo ESET, PipeMagic cũng từng được sử dụng để khai thác một lỗ hổng khác trong hệ thống Win32 Kernel Subsystem (CVE-2025-24983) từ tháng 3 năm 2023. Đây là phần mềm độc hại do Kaspersky phát hiện năm 2022, với khả năng thu thập thông tin nhạy cảm, kiểm soát từ xa và lây lan trong mạng nội bộ.
Trước đó, trong quá trình điều tra một cuộc tấn công bằng ransomware Nokoyawa, Kaspersky cũng phát hiện PipeMagic được dùng để khai thác một lỗ hổng CLFS khác – CVE-2023-28252.
RansomEXX – ban đầu hoạt động dưới tên Defray từ năm 2018 – đã đổi tên và tăng cường hoạt động đáng kể từ giữa năm 2020. Nhóm này từng nhắm vào nhiều tổ chức lớn như GIGABYTE, Konica Minolta, Sở Giao thông Vận tải Texas, hệ thống tòa án Brazil, hệ thống giao thông công cộng Montreal (STM), và nhà cung cấp phần mềm chính phủ Tyler Technologies.