4月8日微軟發布本月份例行更新(Patch Tuesday),修補126個資安漏洞,數量超過2月及3月(63、57個)的總和。從漏洞的類型來看,有49個權限提升漏洞、31個遠端程式碼執行(RCE)漏洞、17個資訊洩露漏洞、14個阻斷服務(DoS)漏洞、9個安全功能繞過漏洞,以及3個能被用於欺騙的漏洞;而從漏洞的嚴重程度而言,有11個被評為重大層級,巧合的是,這些都是RCE漏洞。
值得留意的是,其中有一項零時差漏洞CVE-2025-29824,已被用於實際攻擊行動。這項漏洞存在於通用事件記錄檔案系統(CLFS),為權限提升漏洞,起因是CLFS驅動程式具有記憶體釋放後再存取使用(Use After Free,UAF)弱點,取得授權的攻擊者有機會於本機提升權限為SYSTEM,CVSS風險為7.8。
針對這項漏洞被用於實際攻擊行動的情況,微軟威脅情報中心(MSTIC)與安全事件回應中心(MSRC)特別為此發布部落格文章,當中指出駭客組織Storm-2460鎖定有限數量的目標,將此漏洞用於勒索軟體攻擊。
這些遭到鎖定的目標,包含:美國IT業者及房仲業者、委內瑞拉金融業者、西班牙軟體公司、沙烏地阿拉伯零售業者。
究竟駭客如何入侵受害組織,微軟表示不清楚,但他們看到駭客在部署惡意程式PipeMagic之後,透過名為dllhost.exe的處理程序,試圖於記憶體內觸發漏洞,得逞後將有效酬載先後注入winlogon.exe、procdump.exe,以及另一個dllhost.exe,接著從LSASS截取使用者帳密資料,然後對受害電腦部署勒索軟體。根據駭客留下的勒索訊息當中,他們提及的暗網網域,微軟指出這起事故與勒索軟體RansomExx有關。
