Par redaction , 20 août 2025
RansomExx

Des acteurs malveillants exploitent une vulnérabilité du pilote CLFS de Windows pour obtenir des privilèges élevés. La porte dérobée PipeMagic sert de tremplin au déploiement du ransomware RansomExx, permettant des attaques de double extorsion malgré la disponibilité d’un correctif depuis avril 2025.

À retenir en 30 secondes

  • Faille CLFS déjà corrigée en avril 2025 : risque majeur si les patchs ne sont pas appliqués.
  • PipeMagic = porte dérobée assurant accès persistant et déploiement de charges malveillantes.
  • RansomExx opère le chiffrement après exfiltration des données : double extorsion.
  • Campagnes observées dans plusieurs régions ; activité en évolution continue.
  • Attribution opérationnelle évoquée : Storm‑2460 (Microsoft Threat Intelligence).

Chaîne d’attaque (simplifiée)

  1. Accès initial (phishing, exploitation d’un service exposé, etc.).
  2. Déploiement de PipeMagic pour la persistance et le contrôle à distance.
  3. Élévation de privilèges via CLFS sur hôte non corrigé.
  4. Exfiltration des données sensibles.
  5. Chiffrement RansomExx et demande de rançon (double extorsion).

Pourquoi cette faille reste dangereuse malgré le correctif

La vulnérabilité CLFS est publique et documentée. Les acteurs malveillants ciblent prioritairement les environnements où les mises à jour tardent : un écart de patch suffit pour compromettre une machine et pivoter sur le SI.

Mesures immédiates de défense

  • Appliquer sans délai toutes les mises à jour Windows publiées en avril 2025 et ultérieures (poste & serveur).
  • Inventorier et corriger les hôtes en retard de patch (WSUS/Intune/SCCM, rapports de conformité).
  • Renforcer la détection : surveiller créations de services suspects, tâches planifiées, connexions sortantes anormales, dépôts de binaires en répertoires temporaires/profils.
  • Contrôler les privilèges et limiter les comptes administrateurs locaux/domaines ; activer l’ASR (Attack Surface Reduction) si disponible.
  • Segmentation réseau & MFA sur accès sensibles ; durcir RDP/VPN.
  • Plan de sauvegarde 3‑2‑1 avec copies offline/immutables et tests réguliers de restauration.
  • Réponse à incident : préparer playbooks (containment, isolement, éradication, notification).

Contexte et périmètre

PipeMagic a été observé pour la première fois en 2022, d’abord sur des cibles industrielles en Asie du Sud‑Est, avant de s’étendre. Les variantes vues en 2025 montrent des capacités de persistance et d’évasion renforcées. Des détections récentes ont été signalées au Moyen‑Orient et en Amérique latine, entre autres.

Attribution opérationnelle

Des éléments publics attribuent la campagne à un groupe suivi sous l’appellation Storm‑2460, connu pour l’exploitation de vulnérabilités Windows rendues publiques et pour des opérations discrètes d’extorsion multi‑régions.

FAQ

Si mes systèmes sont à jour, suis‑je protégé ?

Le correctif réduit drastiquement le risque d’élévation de privilèges via CLFS. Toutefois, la vigilance reste requise : la chaîne d’attaque peut combiner d’autres vecteurs.

Est‑ce une faille zero‑day ?

Non. Elle a été corrigée en avril 2025. Le danger vient surtout des systèmes non patchés.

Quelles bonnes pratiques pour limiter l’impact d’un chiffrement ?

Inventaire et remédiation rapides, sauvegardes offline testées, MFA généralisé, segmentation, surveillance EDR et procédures de réponse à incident éprouvées.

Sources : analyses de terrain et rapports publics (Kaspersky, BI.ZONE, Microsoft Threat Intelligence).

#Windows #CLFS #PipeMagic #RansomExx #Ransomware #DoubleExtorsion #Storm2460
Source : 01net

Catégorie
La presse en parle