Microsoft hat eine schwerwiegende Sicherheitslücke im Windows-Betriebssystem eingeräumt. Diese Zero-Day-Schwachstelle wird bereits von der RansomEXX-Ransomware-Gruppe aktiv ausgenutzt, um Nutzer zu erpressen.
Windows 11-Update schon verfügbar
Die Schwachstelle, die unter der Kennung CVE-2025-29824 geführt wird, betrifft das Windows Common Log File System und ermöglicht es Angreifern, mit relativ geringem Aufwand und ohne Interaktion durch Nutzer SYSTEM-Rechte auf angegriffenen Rechnern zu erlangen. Damit haben sie das Gerät dann komplett unter ihrer Kontrolle.
Die Lücke beruht auf einer sogenannten Use-after-Free-Schwachstelle, die von lokalen Angreifern mit niedrigen Benutzerrechten ausgenutzt werden kann. Microsoft hat im Rahmen des gestrigen Patch-Days bereits Sicherheits-Updates für Windows 11 bereitgestellt, jedoch stehen Patches für Windows 10 derzeit noch aus. Diese sollen “so bald wie möglich” folgen, teilte das Unternehmen mit.
Nach Angaben Microsofts richteten sich die bisherigen Angriffe gegen Unternehmen aus den Bereichen IT und Immobilien in den USA, die Finanzbranche in Venezuela, eine spanische Softwarefirma sowie den Einzelhandel in Saudi-Arabien. Systeme mit Windows 11 in der Version 24H2 seien zwar von der Schwachstelle betroffen, jedoch nicht Ziel der bisher beobachteten Angriffe gewesen. Microsoft ruft alle Nutzer dringend dazu auf, die verfügbaren Sicherheitsupdates schnellstmöglich zu installieren.
Die kriminelle Gruppe hinter den Angriffen wird von Microsoft unter dem Namen Storm-2460 beobachtet und ist besser bekannt als RansomEXX. Diese begann ihre Aktionen mit der Installation der Schadsoftware PipeMagic, einer Backdoor, die dazu verwendet wurde, die Exploit auf Systeme zu bringen und anschließend die eigentliche Ransomware sowie Erpresserschreiben mit dem Titel !READ_ME_REXX2! auf den betroffenen Rechnern zu platzieren.
Bekannte Gruppe
PipeMagic wurde bereits in der Vergangenheit für gezielte Angriffe genutzt, unter anderem auf eine weitere Windows-Sicherheitslücke (CVE-2025-24983). Entdeckt wurde das Schadprogramm 2022 von Kaspersky, die bereits bei der Analyse von Nokoyawa-Ransomware-Angriffen auf eine ähnliche Angriffskette stießen.
Die Gruppe RansomEXX ist seit 2018 aktiv und wurde ab Juni 2020 unter neuem Namen besonders aggressiv. Zu den bekannten Opfern zählen unter anderem Gigabyte, Konica Minolta, die texanische Verkehrsbehörde TxDOT, die brasilianische Justiz sowie die öffentliche Nahverkehrsgesellschaft von Montreal.
Zusammenfassung
- Schwere Sicherheitslücke in Windows wird von Ransomware-Gruppe genutzt
- Angreifer können SYSTEM-Rechte ohne Nutzerinteraktion erlangen
- Microsoft stellt Patches für Windows 11 bereit, Windows 10 folgt später
- Bisherige Angriffe zielten auf Unternehmen in USA, Venezuela und Europa
- Kriminelle Gruppe Storm-2460 alias RansomEXX steht hinter den Attacken
- Schadsoftware PipeMagic wird als Einfallstor für Ransomware genutzt
- RansomEXX ist seit 2018 aktiv und griff bereits viele Unternehmen an
Siehe auch:
