Nuevo ransomware explota zero-day en Windows

XPoint

Publicado el 09/04/2025

Nuevo ataque con ransomware explota una vulnerabilidad zero-day en Windows a través del troyano PipeMagic

Microsoft ha confirmado que una vulnerabilidad crítica en el componente Common Log File System (CLFS) de Windows fue utilizada como zero-day para desplegar ransomware en ataques dirigidos.

CVE-2025-29824 es un fallo de escalada de privilegios que permite a los atacantes obtener permisos de nivel SYSTEM. Esta vulnerabilidad fue corregida recientemente en el Patch Tuesday de abril 2025, pero ya estaba siendo explotada activamente.

Los objetivos identificados incluyen:

•Empresas de tecnología y bienes raíces en EE. UU.

•El sector financiero en Venezuela

•Una empresa de software en España

•El sector retail en Arabia Saudita

El exploit fue entregado mediante un troyano modular llamado PipeMagic, en circulación desde 2022. Este malware se ejecuta como un archivo malicioso de MSBuild que descarga cargas cifradas desde un sitio legítimo previamente comprometido.

Tras la ejecución, el malware:

Escala privilegios a SYSTEM modificando directamente el token del proceso.
Inyecta procesos maliciosos en servicios del sistema.
Roba credenciales extrayendo la memoria del proceso LSASS.
Encripta archivos utilizando una extensión aleatoria.

Si bien Microsoft no logró recuperar una muestra del ransomware, el mensaje de rescate contenía un dominio TOR asociado a la familia RansomEXX.

Windows 11 versión 24H2 no es vulnerable, ya que restringe el acceso a funciones internas del sistema solo a usuarios con privilegios avanzados (SeDebugPrivilege).

Este incidente muestra cómo los atacantes combinan zero-days, malware modular y técnicas post-explotación avanzadas para maximizar el impacto y evadir defensas.

Recomendaciones:

Aplique los parches de seguridad de abril lo antes posible.
Refuerce la detección de actividad anómala en herramientas como MSBuild y certutil.
Revise los permisos de los usuarios y refuerce el monitoreo de procesos con privilegios elevados.

PipeMagic Trojan Exploits Windows Zero-Day Vulnerability to Deploy Ransomware

Microsoft has disclosed that a now-patched privilege escalation vulnerability in Windows’ Common Log File System (CVE-2025-29824) was actively exploited as a zero-day in targeted ransomware attacks.

Victims include:

IT and real estate firms in the U.S.
The financial sector in Venezuela
A Spanish software company
Retail operations in Saudi Arabia

The exploit was delivered using PipeMagic, a modular trojan detected since 2022, executed via a malicious MSBuild file that downloads encrypted payloads from a compromised legitimate site.

Once executed, the malware:

Elevates privileges to SYSTEM by corrupting memory and overriding the token value via RtlSetAllBits.
Injects code into SYSTEM processes.
Dumps LSASS memory to steal credentials.
Encrypts files using a random extension.

Although Microsoft couldn’t obtain the ransomware sample, the dropped ransom note included a TOR domain linked to the RansomEXX family.

Notably, Windows 11 24H2 is immune, thanks to changes restricting system-level access to users with SeDebugPrivilege.

Takeaways:

Patch all Windows systems with the latest April 2025 update.
Monitor unusual use of MSBuild or certutil.
Harden privilege boundaries and improve EDR detections for post-exploitation behavior.

Ransomware actors value EoP zero-days as they turn initial access into widespread impact,” Microsoft warns.

Preguntas frecuentes

¿Para que sirve el Pentesting?

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

Identificación de Vulnerabilidades
Evaluación de Riesgos
Priorización
Mitigación y Solución
Seguimiento Continuo
Comunicación y Documentación
Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos

Últimas publicaciones