CLFS zero-day EoP (CVE-2025-29824)¶
CLFS kernel driver'ında bir use-after-free; Storm-2460 (PipeMagic) tarafından in-the-wild olarak SYSTEM'a yükselmek ve ransomware aşamalarını kurmak için exploit edildi.
Mechanism¶
Kırılan invariant
CVE-2025-29824, CLFS kernel driver'ındaki bir use-after-free — 2022'den
bu yana in-the-wild görülen altıncı CLFS elevation-of-privilege bug'ı. Exploit
önce NtQuerySystemInformation üzerinden kernel adreslerini leak eder, ardından
use-after-free memory-corruption primitive'ini RtlSetAllBits ile birlikte
kullanarak exploit eden process'in token privilege'larını 0xFFFFFFFF
(tüm privilege'lar) ile overwrite eder ve standart bir kullanıcıyı SYSTEM'a
yükseltir. Sınır, freed bir CLFS object'inin hâlâ reference edilmesi ve reuse'unun
attacker tarafından kontrol edilebilir olması nedeniyle aşılır (CWE-416). Windows 11
24H2'nin, ilgili bilgi sınıfına erişimin kısıtlanması sayesinde etkilenmediği
raporlanmıştır.
Walkthrough¶
Microsoft / MSTIC'in herkese açık writeup'ından çıkarılan kavramsal reprodüksiyon.
- İlk dayanağı (foothold) elde et; PipeMagic malware'i kurulur (genellikle
ele geçirilmiş meşru bir siteden
certutilile indirilir). - CLFS exploit'ini
dllhost.exeüzerinden host edilen şekilde in-memory çalıştır. - Corruption için gereken kernel adreslerini
NtQuerySystemInformationile leak et. - CLFS use-after-free'i tetikle ve
RtlSetAllBitsile process token'ını tüm privilege'larla overwrite et. - SYSTEM seviyesinde çalışmak için bir SYSTEM process'ine (
winlogon.exe) inject et. - Credential'ları topla (LSASS'e karşı procdump / dllhost injection) ve ransomware deployment'ına geç.
Detection¶
- BLF artifact'ı:
C:\ProgramData\SkyPDF\PDUDrv.blf. dllhost.exe -accepteula -r -ma lsass.execommand line'ı (LSASS dumping).- Defense-evasion / ransomware komutları:
bcdedit,wbadmin,wevtutil. - C2 domain'i
aaaaabbbbbbb.eastus.cloudapp.azure[.]com; ransom note!_READ_ME_REXX2_!.txt. certutil'in üçüncü-parti / ele geçirilmiş sitelerden payload indirmesi.
Mitigation¶
- 8 Nisan 2025 güvenlik güncellemelerini uygula (CVE-2025-29824 CISA KEV'de — zorunlu).
- Cloud-delivered protection'ı etkinleştir ve EDR'ı block mode'da çalıştır.
- Attack-surface-reduction (ASR) kurallarını devreye al (LSASS credential-theft, process-injection kuralları).
- Windows 11 24H2'yi tercih et (etkilenmediği raporlanmış) ve least privilege uygula /
SeDebugPrivilege'i kısıtla. - Listelenen IOC'ler (file path'ler, command line'lar, C2 domain) için izleme ve alert kur.