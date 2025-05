Een kwetsbaarheid in Windows waarvoor op 8 april een beveiligingsupdate verscheen is al voor het uitkomen van de patch gebruikt voor het verspreiden van malware, zo stelt Symantec. Eerder maakte Microsoft al bekend dat het beveiligingslek ook bij ransomware-aanvallen was gebruikt. Al deze aanvallen vonden plaats voordat Microsoft met een update kwam.

De kwetsbaarheid (CVE-2025-29824) bevindt zich in het Windows Common Log Filesystem (CLFS), een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits.

Via CVE-2025-29824 kan een aanvaller die al toegang tot een machine heeft SYSTEM-rechten krijgen en zo het systeem volledig compromitteren. Bij de aanval die Symantec analyseerde wisten de aanvallers vermoedelijk eerst een Cisco ASA firewall te compromitteren. Op een onbekende manier werd er vervolgens toegang gekregen tot een Windowsmachine op het netwerk. Op deze machine maakten de aanvallers gebruik van CVE-2025-29824.

De groep die volgens Symantec voor de aanval verantwoordelijk was houdt zich ook bezig met ransomware-aanvallen. In dit geval werd malware genaamd Grixba uitgerold. Dit is een infostealer en netwerkscanner waarmee de aanvallers allerlei informatie over het systeem en netwerk verzamelen. Deze data wordt dan voor verdere aanvallen gebruikt. Volgens Symantec verschilt de waargenomen aanval van de ransomware-aanvallen die Microsoft eerder beschreef, wat mogelijk inhoudt dat verschillende groepen over de kwetsbaarheid beschikten.