Microsoft Windows Vulnerability Exploited to Deploy PipeMagic RansomExx Malware

2 minute de lecture

Mis à jour : August 18, 2025

Exploitation d’une vulnérabilité Windows pour le déploiement du malware PipeMagic

Des chercheurs en cybersécurité ont révélé l’exploitation d’une faille de sécurité désormais corrigée dans Microsoft Windows pour déployer le malware PipeMagic dans des attaques de ransomware RansomExx. Cette campagne cible les entreprises industrielles, avec des occurrences notables en Arabie Saoudite et au Brésil.

Points Clés:

Malware PipeMagic : Identifié dès 2022, PipeMagic agit comme une porte dérobée complète offrant un accès à distance et l’exécution de commandes. Il est modulaire et basé sur des plugins.
Méthodes d’exploitation : Les attaques observées exploitent la vulnérabilité d’escalade de privilèges CVE-2025-29824 affectant le système CLFS de Windows. Précédemment, CVE-2017-0144 (exécution de code à distance via SMB) a été utilisée pour l’infiltration initiale.
Techniques de chargement : Les versions récentes utilisent un fichier d’aide Microsoft (“metafile.mshi”) comme chargeur, qui décompresse un code C# pour décrypter et exécuter du shellcode 32-bit. Des techniques de détournement de DLL (DLL hijacking) ont également été observées, utilisant des fichiers comme “googleupdate.dll” pour masquer des charges utiles malveillantes. Une fausse application ChatGPT a aussi servi d’appât.
Communication du malware : PipeMagic crée un canal de communication nommé de manière aléatoire (.\pipe.) pour transmettre des charges utiles et des notifications chiffrées.
Améliorations du malware : Les versions de 2025 montrent des progrès dans la persistance sur les systèmes compromis et les mouvements latéraux, notamment par l’utilisation de l’outil ProcDump renommé en “dllhost.exe” pour extraire la mémoire du processus LSASS.
Acteur de menace : Microsoft attribue l’exploitation de CVE-2025-29824 et le déploiement de PipeMagic à un acteur de menace suivi sous le nom de Storm-2460.

Vulnérabilités:

CVE-2025-29824 : Vulnérabilité d’escalade de privilèges dans le Common Log File System (CLFS) de Windows.
CVE-2017-0144 : Vulnérabilité d’exécution de code à distance dans Windows SMB.

Recommandations:

Appliquer les correctifs de sécurité de Microsoft, notamment ceux qui corrigent CVE-2025-29824.
Mettre en place des mesures de sécurité pour détecter et prévenir l’exploitation des vulnérabilités SMB.
Surveiller et sécuriser les canaux de communication via les tuyaux nommés (named pipes) dans les environnements Windows.
Adopter des pratiques de sécurité robustes pour le chargement et l’exécution de code, et être vigilant face aux applications et mises à jour suspectes.
Utiliser des outils de sécurité pour détecter les techniques de détournement de DLL et l’extraction de mémoire de processus sensibles comme LSASS.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Microsoft Windows Vulnerability Exploited to Deploy PipeMagic RansomExx Malware

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast