Skip to content

CLFS zero-day EoP (CVE-2025-29824)

CLFS kernel driver'ında bir use-after-free; Storm-2460 (PipeMagic) tarafından in-the-wild olarak SYSTEM'a yükselmek ve ransomware aşamalarını kurmak için exploit edildi.

Mechanism

Kırılan invariant

CVE-2025-29824, CLFS kernel driver'ındaki bir use-after-free — 2022'den bu yana in-the-wild görülen altıncı CLFS elevation-of-privilege bug'ı. Exploit önce NtQuerySystemInformation üzerinden kernel adreslerini leak eder, ardından use-after-free memory-corruption primitive'ini RtlSetAllBits ile birlikte kullanarak exploit eden process'in token privilege'larını 0xFFFFFFFF (tüm privilege'lar) ile overwrite eder ve standart bir kullanıcıyı SYSTEM'a yükseltir. Sınır, freed bir CLFS object'inin hâlâ reference edilmesi ve reuse'unun attacker tarafından kontrol edilebilir olması nedeniyle aşılır (CWE-416). Windows 11 24H2'nin, ilgili bilgi sınıfına erişimin kısıtlanması sayesinde etkilenmediği raporlanmıştır.

Walkthrough

Microsoft / MSTIC'in herkese açık writeup'ından çıkarılan kavramsal reprodüksiyon.

  1. İlk dayanağı (foothold) elde et; PipeMagic malware'i kurulur (genellikle ele geçirilmiş meşru bir siteden certutil ile indirilir).
  2. CLFS exploit'ini dllhost.exe üzerinden host edilen şekilde in-memory çalıştır.
  3. Corruption için gereken kernel adreslerini NtQuerySystemInformation ile leak et.
  4. CLFS use-after-free'i tetikle ve RtlSetAllBits ile process token'ını tüm privilege'larla overwrite et.
  5. SYSTEM seviyesinde çalışmak için bir SYSTEM process'ine (winlogon.exe) inject et.
  6. Credential'ları topla (LSASS'e karşı procdump / dllhost injection) ve ransomware deployment'ına geç.

Detection

  • BLF artifact'ı: C:\ProgramData\SkyPDF\PDUDrv.blf.
  • dllhost.exe -accepteula -r -ma lsass.exe command line'ı (LSASS dumping).
  • Defense-evasion / ransomware komutları: bcdedit, wbadmin, wevtutil.
  • C2 domain'i aaaaabbbbbbb.eastus.cloudapp.azure[.]com; ransom note !_READ_ME_REXX2_!.txt.
  • certutil'in üçüncü-parti / ele geçirilmiş sitelerden payload indirmesi.

Mitigation

  • 8 Nisan 2025 güvenlik güncellemelerini uygula (CVE-2025-29824 CISA KEV'de — zorunlu).
  • Cloud-delivered protection'ı etkinleştir ve EDR'ı block mode'da çalıştır.
  • Attack-surface-reduction (ASR) kurallarını devreye al (LSASS credential-theft, process-injection kuralları).
  • Windows 11 24H2'yi tercih et (etkilenmediği raporlanmış) ve least privilege uygula / SeDebugPrivilege'i kısıtla.
  • Listelenen IOC'ler (file path'ler, command line'lar, C2 domain) için izleme ve alert kur.

References