Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Für Ransomwareangriffe: Gefährliche Windows-Lücke wird aktiv ausgenutzt

Administratoren sollten zeitnah ihre Windows -Systeme aktualisieren. Hacker nutzen eine Zero-Day-Lücke aus, um Ransomware einzuschleusen.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Zerbrochenes Fenster (Symbolbild) (Bild: pixabay.com / kalhh)
Zerbrochenes Fenster (Symbolbild) Bild: pixabay.com / kalhh

Microsoft hat zum April-Patchday wieder zahlreiche Sicherheitslücken in seinen Produkten geschlossen. Bei einer davon hat der Konzern bereits Fälle aktiver Ausnutzung im Rahmen von Ransomwareangriffen beobachtet. Die Lücke klafft im CLFS-Treiber (Common Log File System) von Windows und betrifft damit eine Vielzahl von Systemen. Sie verleiht Angreifern Systemrechte.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Systemadministrator*in Datensicherung (m/w/div) Deutsche Rentenversicherung Bund, Würzburg,Berlin (öffnet im neuen Fenster)
IT-Experte für digitale Preisauszeichnung (ESL) (m/w/d) Schwarz IT, Weinsberg (öffnet im neuen Fenster)
IT Network Specialist (all genders) Carl Kühne KG (GmbH & Co.), Hamburg (öffnet im neuen Fenster)
SAP Security Architect (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
(Junior) Consultant SAP SD/Cax (m/w/d) Payment Schwarz Corporate Solutions, Neckarsulm (öffnet im neuen Fenster)
(Senior) IT-Systemadministrator Windows / Infrastructure (m/w/d) dbh Logistics IT AG, Bremen (öffnet im neuen Fenster)
Softwareentwickler / KI-Entwickler (m/w/d) Science Media Center Germany gGmbH, Köln (öffnet im neuen Fenster)
Duales Studium Informationstechnik 2026 (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

Konkret geht es um die Sicherheitslücke CVE-2025-29824(öffnet im neuen Fenster) , die mit einem CVSS-Wert von 7,8 über einen hohen Schweregrad verfügt. Sie basiert auf einem Use-after-free-Bug ( CWE-416(öffnet im neuen Fenster) ), der es Angreifern mit lokalem Zugriff und einfachen Benutzerrechten ermöglicht, Systemrechte zu erlangen. Die Angriffskomplexität ist dabei als gering eingestuft.

Weitere Details zur Ausnutzung der Lücke hat Microsoft in einem separaten Blogbeitrag(öffnet im neuen Fenster) veröffentlicht. Demnach haben Angreifer die Schwachstelle in Verbindung mit einer Backdoor-Malware namens Pipemagic eingesetzt - unter anderem in Netzwerken von Unternehmen aus den Bereichen IT, Softwareentwicklung, Immobilien, Finanzen und Einzelhandel.

Ransomware über eine Backdoor eingeschleust

Einem früheren Bericht von Kaspersky(öffnet im neuen Fenster) zufolge trat Pipemagic erstmals im Jahr 2022 in Erscheinung. Angreifer erhalten durch die Backdoor einen Fernzugriff auf infiltrierte Geräte, der es ihnen etwa ermöglicht, weitere Malware nachzuladen oder Daten vom Zielsystem zu exfiltrieren.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Hinter den jüngsten Angriffen steckt laut Microsoft eine Hackergruppe, die der Konzern als Storm-2460 bezeichnet und die Pipemagic einsetzt, um eine Ransomware namens RansomEXX einzuschleusen. Den Angaben nach wurden entsprechende Angriffe bei einer "kleinen Anzahl von Zielen" beobachtet.

Wer sich vor der Ausnutzung von CVE-2025-29824 schützen will, sollte die am 8. April veröffentlichten Windows-Updates installieren. Entsprechende Patches sind für fast alle Versionen von Windows 10 und 11 sowie Windows Server 2008 (R2), 2012 (R2), 2016, 2019, 2022 und 2025 verfügbar.

Unter Windows 11 24H2 ließ sich der beobachtete Exploit laut Microsoft aufgrund neuer Sicherheitseinschränkungen gar nicht ausnutzen. Die Angreifer hätten in diesem Fall vorab Adminrechte benötigt. Trotzdem hat der Konzern auch für diese Windows-Variante einen Patch bereitgestellt, der CVE-2025-29824 vollständig schließt.

Zur Startseite Kommentare

Relevante Themen

SoftwareBetriebssystemeSecuritySicherheitslückeUpdates & PatchesCybercrimeWindows 11PatchdayMalwareWindows 10