Windows : cette nouvelle zero-day dans CLFS est exploitée par le ransomware RansomEXX
Une faille de sécurité importante dans Windows a été exploitée par le groupe RansomEXX pour lancer des attaques ciblées : voici ce que l'on sait sur cette menace potentielle.
CVE-2025-29824 : une faille exploitée en tant que zero-day par RansomEXX
Le Patch Tuesday d'avril 2025 publié par Microsoft met en avant une faille de sécurité zero-day exploitée dans le cadre d'attaque : la CVE-2025-29824. Cette vulnérabilité de type use-after-free affecte le pilote CLFS (Common Log File System) de Windows. Il s'agit d'un composant lié au système de journalisation de Windows.
En exploitant cette faille de sécurité, un attaquant local disposant de faibles privilèges peut obtenir des privilèges SYSTEM, sans aucune interaction de l’utilisateur.
Microsoft a publié un rapport pour évoquer les attaques détectées et impliquant l'exploitation de la CVE-2025-29824. Les chercheurs de Microsoft ont révélé que le groupe de ransomware RansomEXX, suivi sous le nom Storm-2460, exploite activement cette faille pour compromettre les machines Windows.
Les cyberattaques observées jusqu’ici sont des attaques ciblées, mais les victimes sont variées. Microsoft explique que ces attaques ont ciblé des organisations américaines des secteurs de l’IT et de l’immobilier, une entreprise financière au Venezuela, un éditeur de logiciels espagnol, ainsi qu’une organisation dans le secteur de la distribution située en Arabie saoudite.
Ce que l'on sait sur les attaques de RansomEXX
Les cybercriminels du groupe RansomEXX s’appuient sur le malware PipeMagic, ce dernier agit sur la machine infectée comme une porte dérobée. Ainsi, il permet aux attaquants de déployer la charge utile contenant le ransomware et d’exploiter la CVE-2025-29824. Lorsque des données sont chiffrées sur une machine, le ransomware laisse une note de rançon nommée "!READ_ME_REXX2!.txt".
"Dans de nombreux cas, l'auteur de la menace a utilisé l'utilitaire certutil pour télécharger un fichier à partir d'un site web tiers légitime qui avait été compromis pour héberger le logiciel malveillant de l'auteur de la menace.", peut-on lire dans le rapport lorsque Microsoft évoque la phase de pre-exploitation.
Le groupe RansomEXX quant à lui était initialement connu sous le nom Defray et il a été créé en 2018. C'est à partir de juin 2020 qu'il a fait particulièrement parler de lui en ciblant des entités importantes comme GIGABYTE, Konica Minolta, le département des transports du Texas (TxDOT) et l’entreprise Tyler Technologies.
Enfin, rappelons que cette faille de sécurité affecte aussi bien Windows 10, Windows 11 que toutes les versions de Windows Server supérieures à Windows Server 2008. Petit bémol : le correctif de sécurité pour Windows 10 n'est pas encore disponible. Microsoft prévoit de le publier dès que possible.
