Alertă de securitate emisă de DNSC: O vulnerabilitate gravă afectează Windows!

Microsoft a lansat, în cadrul actualizării „Patch Tuesday” din aprilie 2025, peste 120 de corecții de securitate pentru produsele sale. Printre ele se află o vulnerabilitate gravă, numită CVE-2025-29824, care era deja folosită activ de hackeri înainte de lansarea patch-ului, informează Directoratul Național de Securitate Cibernetică (DNSC).

🔍 Despre vulnerabilitate

CVE-2025-29824 este o breșă de tip zero-day (adică necunoscută până de curând), care permite hackerilor să își crească nivelul de acces pe un sistem deja compromis.

Această problemă apare în componenta CLFS (Common Log File System), un driver esențial din Windows. Dacă este exploatată, vulnerabilitatea le poate permite atacatorilor:

• să instaleze malware (programe dăunătoare),
• să modifice setări ale sistemului,
• sau să acceseze informații sensibile.
  ►►► ATAC INFORMATIC: Ce trebuie să faci dacă ai primit un e-mail de amenințare

⚠️ Cât de gravă este?

• Scor de severitate (CVSS): 7.8 – ceea ce înseamnă risc ridicat.
• A fost folosită deja în atacuri reale de o grupare de hackeri cunoscută sub numele de Storm-2460.

🛠️ Cum funcționează atacul?

1. Hackerii trimit un program periculos, numit PipeMagic, descărcat de pe site-uri aparent sigure, dar compromise.
2. Acest program folosește o funcție din Windows pentru a accesa informații din memorie (în special pe versiuni mai vechi).
3. Apoi, atacatorii corup o zonă de memorie și își oferă singuri toate privilegiile de administrator.
4. Un fișier suspect este creat în sistem:
   C:\ProgramData\SkyPDF\PDUDrv.blf
5. Codul rău intenționat rulează printr-un proces obișnuit din Windows – dllhost.exe.
   ►►► Atenție la acest malware periculos pentru Android! Vă poate goli contul bancar

🧩 Semne că un sistem ar putea fi compromis:

• Fișierul menționat mai sus apare pe sistem.
• Comenzi suspecte sunt executate, cum ar fi:
  • Dezactivarea recuperării Windows: pgsql bcdedit /set {default} recoveryenabled no
  • Ștergerea backup-urilor: cpp wbadmin delete catalog -quiet
  • Ștergerea jurnalelor de evenimente: mathematica wevtutil cl Application
• Comunicare cu domenii suspecte, ca:
  • eastus.cloudapp.azure[.]com

✅ Ce trebuie făcut urgent?

1. Instalează actualizarea de securitate de la Microsoft (8 aprilie 2025).
2. Activează protecția cloud în antivirusul Microsoft Defender.
3. Folosește sisteme de monitorizare a tuturor dispozitivelor din rețea.
4. Activează EDR (Endpoint Detection and Response) pentru a bloca automat activitățile suspecte.
5. Activează AIR (Automated Investigation and Remediation) pentru răspuns automat la incidente.
6. Evaluează vulnerabilitățile din sistem cu Microsoft Defender Vulnerability Management.
7. Activează regulile ASR (Attack Surface Reduction) pentru a preveni atacuri de tip ransomware.
   ►►► Hackerii au descoperit o metodă de a accesa conturile Google fără parolă

🔐 Concluzie

CVE-2025-29824 este o amenințare reală și serioasă. Grupări de hackeri profită deja de această slăbiciune pentru a compromite sisteme Windows. Este esențial să instalezi patch-urile și să folosești toate funcțiile de securitate disponibile. Nu lăsa sistemele tale neprotejate!