Microsoft vừa phát hiện một lỗ hổng zero-day nghiêm trọng trong hệ thống Common Log File System (CLFS) của Windows, được theo dõi với mã CVE-2025-29824. Lỗ hổng này cho phép tin tặc chiếm quyền kiểm soát hệ thống và triển khai mã độc tống tiền ransomware.
Hoạt động khai thác lỗ hổng được xác định do nhóm tin tặc Storm-2460 thực hiện – một nhóm có động cơ tài chính và từng sử dụng các công cụ như mã độc PipeMagic và ransomware RansomEXX. Nhóm này đã nhắm vào một số tổ chức thuộc các ngành CNTT, tài chính, bán lẻ… tại Mỹ, Venezuela, Tây Ban Nha và Ả Rập Xê Út.
Lỗ hổng CVE-2025-29824 nằm trong thành phần ghi log hệ thống Windows (CLFS), cho phép tin tặc leo thang đặc quyền từ người dùng thường lên quyền SYSTEM – cấp cao nhất trên Windows. Lỗ hổng này thuộc dạng use-after-free, cực kỳ nguy hiểm vì dễ khai thác và không cần tương tác từ người dùng.
Việc này cho phép chúng thu thập tài khoản đăng nhập, mở rộng quyền truy cập trong hệ thống và nhanh chóng triển khai ransomware. Hệ thống sau đó bị mã hóa toàn bộ dữ liệu, các tệp tin bị đổi phần mở rộng ngẫu nhiên và một ghi chú đòi tiền chuộc mang tên “!READ_ME_REXX2!.txt” được để lại.
Microsoft cho biết, việc khai thác các lỗ hổng cho phép leo thang đặc quyền là một bước đi quan trọng đối với các nhóm tấn công bằng ransomware. Bởi từ những điểm truy cập ban đầu (thường đến từ các mã độc phổ thông), kẻ tấn công có thể nhanh chóng kiểm soát toàn hệ thống, gây ra hậu quả nghiêm trọng về mặt vận hành và dữ liệu.
Microsoft đã phát hành bản vá khẩn cấp vào ngày 8/4/2025 và khuyến nghị các tổ chức nên triển khai ngay lập tức.
