Microsoft affirme que le gang de ransomware RansomEXX a exploité une faille zero-day de haute gravité dans le système de fichiers journaux commun de Windows pour obtenir des privilèges SYSTÈME sur les systèmes des victimes.
La vulnérabilité, identifiée comme CVE-2025-29824, a été corrigée lors du Patch Tuesday de ce mois-ci et n’a été exploitée que dans un nombre limité d’attaques.
CVE-2025-29824 est dû à une faiblesse d’utilisation après libération qui permet aux attaquants locaux disposant de faibles privilèges d’obtenir des privilèges SYSTÈME lors d’attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
Bien que la société ait publié des mises à jour de sécurité pour les versions Windows concernées, elle a retardé la publication des correctifs pour les systèmes Windows 10 x64 et 32 bits et a déclaré qu’ils seraient publiés dès que possible.
« Les cibles comprennent des organisations des secteurs des technologies de l’information (TI) et de l’immobilier aux États-Unis, le secteur financier au Venezuela, une société espagnole de logiciels et le secteur de la vente au détail en Arabie Saoudite », a révélé Microsoft aujourd’hui.
« Les clients exécutant Windows 11, version 24H2 ne sont pas affectés par l’exploitation observée, même si la vulnérabilité était présente. Microsoft exhorte les clients à appliquer ces mises à jour dès que possible. »
Microsoft a lié ces attaques au gang de ransomware RansomEXX, qu’il suit sous le nom de Storm-2460. Les attaquants ont d’abord installé le malware de porte dérobée PipeMagic sur des systèmes compromis, qui a été utilisé pour déployer l’exploit CVE-2025-29824, des charges utiles de ransomware et !LISEZ-MOI_REXX2!.notes de rançon txt après le cryptage des fichiers.
Comme ESET l’a signalé le mois dernier, PipeMagic a également été utilisé pour déployer des exploits ciblant un sous-système de noyau Windows Win32 zero-day (CVE-2025-24983) depuis mars 2023.
Découvert par Kaspersky en 2022, le malware peut récolter des données sensibles, fournit un accès à distance complet aux appareils infectés et permet aux attaquants de déployer des charges utiles malveillantes supplémentaires pour se déplacer latéralement à travers les réseaux des victimes.
En 2023, Kaspersky a repéré cette porte dérobée alors qu’il enquêtait sur les attaques de ransomware Nokoyawa. Ces attaques ont exploité un autre pilote de système de fichiers journaux commun Windows zero-day, une faille d’élévation de privilèges répertoriée sous le nom de CVE-2023-28252.
L’opération RansomEXX ransomware a commencé sous le nom de Defray en 2018, mais a été rebaptisée RansomEXX et est devenue beaucoup plus active à partir de juin 2020.
Ce gang de rançongiciels a également ciblé des organisations de premier plan, notamment le géant du matériel informatique GIGABYTE, Konica Minolta, le département des Transports du Texas (TxDOT), le système judiciaire brésilien, le système de transport public de la STM de Montréal et le fournisseur de logiciels gouvernementaux Tyler Technologies.