Alertă DNSC pentru Microsoft Windows: Vulnerabilitate critică de securitate cibernetică. Ce trebuie să faci

Pachetul de actualizări abordează o varietate extinsă de amenințări, printre care se numără escaladarea privilegiilor, execuția de cod la distanță, atacurile de tip Denial of Service (DoS), ocolirea mecanismelor de securitate, precum și o vulnerabilitate zero-day exploatată activ, identificată cu id-ul CVE-2025-29824.

CVE-2025-29824 este o vulnerabilitate zero-day despre care Microsoft a confirmat că era exploatată activ înainte de lansarea patch-ului.

Această vulnerabilitate de tip escaladare a privilegiilor permite unui atacator care are deja acces la un sistem să își extindă permisiunile dincolo de cele acordate inițial. În acest caz, defecțiunea se află în driverul Common Log File System (CLFS).

Dacă este exploatată cu succes, un atacator ar putea obține privilegii de sistem, permițându-i astfel să execute cod arbitrar, să instaleze programe malițioase, să modifice setările sistemului sau să acceseze date sensibile.

Metodele inițiale de acces care au permis compromiterea dispozitivelor nu au fost încă identificate, dar Microsoft a observat mai multe comportamente specifice grupării Storm-2460. Atacatorii au descărcat fișiere dăunătoare de pe site-uri legitime compromise și au utilizat un malware cunoscut sub numele “PipeMagic”.

DNSC recomandă următoarele:

Aplicarea promptă a patch-ului, activarea funcțiilor de remediere automată și implementarea măsurilor avansate de protecție precum ASR sunt esențiale pentru prevenirea compromiterii sistemelor și reducerea suprafeței de atac în fața unor amenințări sofisticate precum cele asociate grupării Storm-2460.

• Actualizarea sistemelor cu patch-ul de securitate din 8 aprilie 2025 care remediază CVE-2025-29824.
• Activarea protecției cloud în Microsoft Defender Antivirus (sau un produs echivalent) pentru a detecta rapid amenințările.
• Implementarea mecanismelor de tip device discovery pentru a detecta echipamente și sisteme neînregistrate sau neadministrate în rețea și pentru a le include în procesele de monitorizare și protecție.
• Activarea Endpoint Detection and Response (EDR) în modul de blocare, astfel încât Microsoft Defender for Endpoint să poată bloca artefactele dăunătoare, chiar dacă în același timp rulează alt utilitar antivirus care nu le detectează.
• Activarea Automated Investigation and Remediation (AIR) din portalul Microsoft 365 Defender, în secțiunea Settings / Endpoints / Advanced features, pentru a permite un răspuns imediat la alerte și pentru a reduce volumul de incidente care necesită intervenție manuală.
• Utilizarea Microsoft Defender Vulnerability Management pentru a evalua starea actuală și a implementa actualizările lipsă.
• Activarea regulilor Attack Surface Reduction (ASR) din portalul Microsoft 365 Defender, accesând Settings / Endpoints / Attack surface reduction, pentru a bloca tehnici frecvent utilizate în atacurile de tip ransomware.