Microsoft CLFS の脆弱性 CVE-2025-29824:ランサムウェア攻撃での積極的な悪用を観測

Zero-Day CLFS Vulnerability (CVE-2025-29824) Exploited in Ransomware Attacks

2025/05/07 SecurityOnline — Microsoft の Common Log File System (CLFS) ドライバに存在する、ゼロデイの権限昇格の脆弱性 CVE-2025-29824 を悪用する高度な攻撃を、Symantec の Threat Hunter Team が発見した。この脆弱性を積極的に悪用するのは、Play ランサムウェア (PlayCrypt) を背後で操る、脅威グループ Balloonfly である。2025年4月8日の時点で、脆弱性 CVE-2025-29824 には公式パッチがリリースされているが、それに先行して、この活動は発生していた。

Symantec は、「Play ランサムウェア攻撃に関与する攻撃者は、米国の組織に対する攻撃試行中に、ゼロデイ権限昇格エクスプロイトを展開した。この侵入において、最終的なランサムウェア・ペイロードは展開されなかったが、以前において Balloonfly グループに関連付けられていた、カスタム・マルウェア Grixba インフォスティーラーを、この攻撃者は実行した。つまり、この攻撃の目的が、初期段階の偵察またはテスト活動であった可能性が示唆される」と述べている

この攻撃者は、CLFS.sys ドライバの競合状態を悪用して、カーネル・メモリを変更するマルチスレッド・エクスプロイトの手法を採用している。このエクスプロイトは、2つのコンカレント・スレッドを起動する。

  • スレッド_1:CloseHandle() を呼び出し、キー構造体 (CClfsLogCcb) が使用しているメモリの、クリーンアップと解放をトリガーする。
  • スレッド_2:DeviceIoControl() を使用して、解放されたメモリにアクセスする。

Symantec は、「CLFS ドライバは、FILE_OBJECT 構造体における FsContext2 フィールドのメモリ・ポインタを使用するが、このポインタが参照し続けるのは、すでに割り当て解除された構造体のロケーションとなる」と述べている。

このエクスプロイトは、”\.\LOG:\??\C:\ProgramData\SkyPDF\PDUDrv” とインタラクトすることで、アーティファクトを作成し、winlogon.exe に悪意の DLL (clssrv.inf) を挿入する。

攻撃者は、以下のバッチ・ファイル (servtask.bat) を実行した:

  • SAM/SYSTEM/SECURITY レジストリ・ハイブをダンプ
  • LocalSvc という新規ユーザーを作成し、Administrators グループに追加
  • SYSTEM としてマルウェアを実行するタスクをスケジュール

さらに攻撃者は、2つ目のバッチファイル (cmdpostfix.bat) でエクスプロイトのアーティファクトを削除し、残存ファイルをクリーンアップすることで、その痕跡を消去した。

Symantec の分析によると、このゼロデイ脆弱性には、複数の攻撃者により悪用された可能性があるという。Balloonfly の攻撃では、ディスクベースのアーティファクトが残されたが、Microsoft の報告によると、PipeMagic マルウェアの運用者である別のグループ Storm-2460 はファイルレス攻撃を実行しているようだ。

Microsoft は、「Storm-2460 によるエクスプロイトの性質は、Symantec が発見した Balloonfly 関連の活動とは異なるようだ」と指摘している。

現時点で Microsoft は、米国/ベネズエラ/スペイン/サウジアラビアの組織に対するエクスプロイトを確認しており、この脆弱性の広範な影響が懸念されている。

稀なことではあるが、過去において、ランサムウェア・グループがゼロデイ脆弱性を悪用した事例もある。以前において Symantec は、Black Basta が CVE-2024-26169 を悪用したことを報告しているが、それはパッチが公開される前のことだった。

先月にも、この脆弱性 CVE-2025-29824 を悪用した攻撃が観測されています (2025/04/09:Windows CLFS の脆弱性 CVE-2025-29824:PipeMagic RAT を介したランサムウェア攻撃で悪用)。Microsoft CLFS をご利用のチームは、十分にご注意ください。よろしければ、Microsoft で検索も、ご参照ください。