CVE-2025-29824: vulnerabilità critica nel CLFS di Windows

CVE-2025-29824 è una vulnerabilità zero-day del Common Log File System di Windows, sfruttata per ottenere privilegi amministrativi.

Il Common Log File System (CLFS) è una delle principali funzionalità di Windows, utilizzata per gestire in modo efficiente gli eventi interni del dispositivo e le operazioni vari programmi. Essendo integrato direttamente nel kernel, è una componente critica del sistema operativo. Una vulnerabilità al suo interno è particolarmente pericolosa, poiché, se sfruttata, un attaccante potrebbe compiere una privilege escalation e ottenere il controllo completo del dispositivo.

Panoramica di CVE-2025-29824
CVE-2025-29824 e Play Ransomware
Impatto di CVE-2025-29824
Prevenzione e difesa

È esattamente quanto accaduto con CVE-2025-29824, una vulnerabilità zero-day individuata da Microsoft l’8 aprile 2025 e classificata con un punteggio CVSS di 7.8 su 10. Questa falla ha permesso a diversi attori malevoli di eseguire escalation di privilegi in numerose infrastrutture aziendali, distribuendo malware all’interno dei sistemi compromessi.

In questo articolo analizzeremo il funzionamento di CVE-2025-29824, l’impatto sui sistemi colpiti e le misure da adottare per prevenire minacce del genere.

Panoramica di CVE-2025-29824

Le indagini condotte da Microsoft hanno mostrato che la vulnerabilità veniva innescata attraverso PipeMagic, un loader malevolo che opera silenziosamente in memoria. Questo elemento ha portato gli esperti ad attribuire l’exploit di CVE-2025-29824 al gruppo Storm-2460, già noto per aver usato PipeMagic in contesti di attacchi ransomware.

Alla data di pubblicazione di questo articolo, Microsoft non ha ancora identificato il vettore di accesso iniziale che ha consentito ai cybercriminali di entrare nei sistemi compromessi. Tuttavia, il modo con cui la vulnerabilità viene sfruttata a seguito del primo exploit, è ben noto. Di seguito è riportata la sua analisi dettagliata.

Esecuzione di CVE-2025-29824

Dopo il rilascio di PipeMagic, gli attaccanti avviano l’exploit in memoria sfruttano il processo dllhost.exe, mediante l’API NtQuerySystemInformation, usata per far trapelare indirizzi del kernel nello spazio utente. L’exploit provoca una corruzione di memoria e utilizza l’API RtlSetAllBits per alterare il token di sicurezza del processo in esecuzione. Questo token stabilisce i privilegi assegnati al processo e l’attaccante fa in modo di impostarlo sul valore esadecimale 0xFFFFFFFF, ottenendo così un passpartout che gli garantisce l’accesso a tutti i privilegi del sistema.

Durante l’esecuzione, il processo dllhost.exe crea un file Base Log File (BLF) nel percorso C:\ProgramData\SkyPDF\PDUDrv.blf. Si tratta di file comunemente usati dal Common Log File System, che in questo caso diventano un indicatore di compromissione (IoC) utile per individuare i sistemi colpiti. In questo modo, gli attaccanti ottengono privilegi illimitati e pongono le basi per le fasi successive dell’attacco.

Attività post-exploit

Ottenuto il controllo del sistema, gli attaccanti iniettano un payload nel processo winlogon.exe. Questo rilascia ed esegue procdump.exe all’interno di un nuovo processo dllhost.exe. Si tratta di uno strumento legittimo di Sysinternals, che viene impiegato per scaricare la memoria del processo lsass.exe, dove risiedono le credenziali degli utenti. Così facendo, i cybercriminali riescono a estrarle e analizzarle.

In seguito, Microsoft ha osservato anche attività di ransomware sui sistemi compromessi, poiché sono stati individuati file cifrati con un’estensione casuale e anche una ransomnote, denominata !READ_ME_REXX2!.txt. Sebbene la casa di Redmond non sia riuscita ad analizzare direttamente un campione del ransomware, sono stati rilevati numerosi elementi utili per il rilevamento e la mitigazione. Nello specifico:

Gli attaccanti hanno usato due domini Tor per la gestione dei riscatti, con uno direttamente collegato alla famiglia RansomEXX;
Il ransomware viene eseguito tramite il processo dllhost.exe per mascherare l’attacco;
I file cifrati assumono un’estensione unica per ogni macchina infetta;
Le difese vengono disattivate, i backup eliminati e i log cancellati per prevenire operazioni di ripristino;
In alcuni casi, sono state avviate applicazioni come Notepad con privilegi SYSTEM, a conferma del pieno controllo del dispositivo da parte degli attaccanti.

CVE-2025-29824 e Play Ransomware

Storm-2460 non è stata l’unica cybergang ad aver sfruttato CVE-2025-29824. Infatti, il Threat Hunter Team di Symantec ha identificato altri attori malevoli collegati al gruppo ransomware Play, che hanno impiegato la stessa vulnerabilità in un attacco condotto negli Stati Uniti. Questi hanno sfruttato un dispositivo Cisco ASA esposto su internet come entry point, per poi eseguire movimenti laterali all’interno della rete. Attraverso l’infostealer Grixba, sono riusciti a occultare l’exploit di CVE-2025-29824 nella cartella Music, rinominandolo con nomi che imitavano i software di Palo Alto Networks.

In fase di attacco, sono state anche estratte numerose informazioni sensibili da tutte le macchine presenti nell’Active Directory delle vittime, salvandole in un file CSV. Contestualmente sono stati creati due file nel percorso C:\ProgramData\SkyPDF:

PDUDrv.blf, file log del Common Log File System generato come risultato diretto dello sfruttamento. Serve a scalare i privilegi, eseguire il dump dei registri SAM, SYSTEM e SECURITY, oltre a creare un nuovo utente denominato LocalSvc con diritti amministrativi
Clssrv.inf, una DLL iniettata nel processo winlogon.exe, che rilascia due file di batch aggiuntivi. Viene utilizzata per eliminare le tracce dell’attacco.

Fortunatamente, Play non ha distribuito alcun payload di ransomware, in quanto l’attacco si è fermato alle fasi preliminari, con raccolta di credenziali e movimenti laterali, senza arrivare alla cifratura dei file. Questo lascia intendere che l’obiettivo fosse diverso, oppure che l’operazione fosse ancora in corso al momento della rilevazione da parte di Symantec.

Impatto di CVE-2025-29824

Secondo le indagini, gli attacchi che hanno sfruttato CVE-2025-29824 hanno colpito diverse aziende negli Stati Uniti, in Venezuela, in Spagna e in Arabia Saudita. Le ricerche hanno inoltre evidenziato che la vulnerabilità era stata sfruttata da più gruppi malevoli prima che Microsoft rilasciasse la patch correttiva.

Prima dell’aggiornamento dell’8 aprile 2025, CVE-2025-29824 interessava la maggior parte delle versioni supportate di Windows, sia client che server. In particolare risultavano esposti:

Windows 10 (dalla build 1809 fino alla 22H2);
Windows 11 (build 22H2 e 23H2);
Windows Server (versioni 2012, 2016, 2019, 2022 e 2025);

Un caso a parte è quello di Windows 11 24H2, dove la vulnerabilità era presente, ma l’exploit non funzionava. Questo a causa delle restrizioni introdotte sul richiamo di alcune API del kernel.

Protezione e difesa

Alla luce di quanto visto finora, gli exploit che consentono l’escalation dei privilegi sono una risorsa fondamentale per i cybercriminali. Permettono di trasformare un accesso iniziale limitato, spesso ottenuto tramite malware diffuso su larga scala, in un controllo completo con diritti amministrativi. Per evitare che CVE-2025-29824 sia sfruttata per compromettere le infrastrutture aziendali, è necessario applicare alcune misure di sicurezza. Di seguito, le più importanti ed efficaci.

Aggiornare tempestivamente Windows.
Installare gli ultimi aggiornamenti del sistema operativo, è il modo più efficace per chiudere la falla.
Ridurre i privilegi degli account aziendali.
Limitare l’uso di credenziali amministrative e applicare il principio del minimo privilegio, riduce le possibilità di compromissione delle infrastrutture digitali.
Proteggere Active Directory.
Monitorare azioni sospette e movimenti laterali aiuta a individuare tentativi di compromissione su larga scala.
Rafforzare i sistemi esposti a internet.
Proteggere i propri dispositivi come firewall, o VPN con configurazioni sicure e accessi limitati, evita intrusioni dall’esterno.
Attivare protezioni avanzate.
Usare antivirus dotati di protezione cloud-delivered, unito a sistemi EDR/XDR, permette di intercettare varianti nuove e comportamenti anomali.
Gestire cartelle e percorsi sensibili.
Limitare la scrittura in cartelle come ProgramData o Music, spesso usate per mascherare exploit, aiuta a ridurre i rischi.
Formare gli utenti e il personale IT.
Una maggiore consapevolezza all’interno di un contesto aziendale, aiuta a riconoscere potenziali tentativi di attacco.

Autore articolo
Gli ultimi articoli

Roberto Caprara

Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.