Nieuws
image

Microsoft: Windows CLFS-lek gebruikt bij ransomware-aanvallen

woensdag 9 april 2025, 09:30 door Redactie, 11 reacties

Een kwetsbaarheid in het Windows Common Log Filesystem (CLFS) is gebruikt bij ransomware-aanvallen voordat een beveiligingsupdate beschikbaar was, zo heeft Microsoft laten weten. Het techbedrijf kwam gisterenavond met een patch voor het probleem, aangeduid als CVE-2025-29824. Sinds wanneer aanvallers misbruik van het beveiligingslek maken laat Microsoft niet weten.

Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits. Via CVE-2025-29824 kan een aanvaller die al toegang tot een machine heeft SYSTEM-rechten krijgen en zo het systeem volledig compromitteren.

Volgens Microsoft is de kwetsbaarheid ingezet tegen it- en vastgoedbedrijven in de Verenigde Staten, financieel dienstverleners in Venezuela, een Spaans softwarebedrijf en retailbedrijven in Saudi-Arabië. Aanvallers moeten zoals gezegd al toegang tot het systeem hebben en hoe dit bij de ransomware-aanvallen in kwestie werd gedaan weet Microsoft niet. Het techbedrijf heeft verschillende Indicators of compromise gegeven waarmee organisaties kunnen kijken of ze zijn gecompromitteerd.

Reacties (11)
Reageer met quote
09-04-2025, 11:33 door Anoniem
In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits
Waarom wordt dit onveilige systeem nog gebruikt?

Aanvallers moeten zoals gezegd al toegang tot het systeem hebben en hoe dit bij de ransomware-aanvallen in kwestie werd gedaan weet Microsoft niet.
Ik weet het denk ik wel; driveby download infectie.
Reageer met quote
09-04-2025, 13:17 door Anoniem
Door Anoniem:
In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits
Waarom wordt dit onveilige systeem nog gebruikt?

Aanvallers moeten zoals gezegd al toegang tot het systeem hebben en hoe dit bij de ransomware-aanvallen in kwestie werd gedaan weet Microsoft niet.
Ik weet het denk ik wel; driveby download infectie.

Waarom gebruiken we nog HTTP, Waarom zijn er nog zoveel FTP sites op het internet? Waarom gebruiken we nog SMTP?
Waarom staan er nog steeds management poorten van firewalls open naar het internet of binnen bedrijfsnetwerken?
Onkunde, legacy, complexiteit etc. maar blijkbaar weet jij precies wat de rest van de wereld niet weet. dus hoef ik je dat ook niet uit te leggen.
Reageer met quote
09-04-2025, 13:45 door Anoniem
Door Anoniem:
In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits
Waarom wordt dit onveilige systeem nog gebruikt?


Dit staat niet in het artikel, maar vanaf Windows 11 24H2 wordt bij het open van CLFS logs een authenticatie code vereist. Wanneer deze ontbreekt, wordt de logfile niet geopend. Deze kwetsbaarheid geldt ook niet voor Windows 11 24H2. 'Microsoft released security updates to address CVE 2025-29824 on April 8, 2025. Customers running Windows 11, version 24H2 are not affected by the observed exploitation, even if the vulnerability was present.'

Zie: https://techcommunity.microsoft.com/blog/microsoft-security-blog/security-mitigation-for-the-common-log-filesystem-clfs/4224041
Reageer met quote
09-04-2025, 13:46 door Anoniem
Door Anoniem:
In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits
Waarom wordt dit onveilige systeem nog gebruikt?

Omdat er in de afgelopen jaren al flink wat kwetsbaarheden verholpen zijn en het product dus inmiddels beter is!
Reageer met quote
09-04-2025, 14:28 door Anoniem
Door Anoniem:
Door Anoniem:
In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits
Waarom wordt dit onveilige systeem nog gebruikt?

Aanvallers moeten zoals gezegd al toegang tot het systeem hebben en hoe dit bij de ransomware-aanvallen in kwestie werd gedaan weet Microsoft niet.
Ik weet het denk ik wel; driveby download infectie.

Waarom gebruiken we nog HTTP, Waarom zijn er nog zoveel FTP sites op het internet? Waarom gebruiken we nog SMTP?
Waarom staan er nog steeds management poorten van firewalls open naar het internet of binnen bedrijfsnetwerken?
Onkunde, legacy, complexiteit etc. maar blijkbaar weet jij precies wat de rest van de wereld niet weet. dus hoef ik je dat ook niet uit te leggen.
Waarom begrijp jij het verschil niet tussen een (waardeloos) besturingssysteem (met een windowsonderdeel onderdeel CLFS, waar de afgelopen jaren tientallen kwetsbaarheden in zijn gevonden, waar dit topic over gaat) en een protocol (jouw genoemde HTTP FTP SMTP) ?
Er is trouwens niets mis met een goede ftp (bv vsftpd) site: ftp.nluug.nl
Reageer met quote
09-04-2025, 14:40 door Anoniem
Door Anoniem:
Door Anoniem:
In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits
Waarom wordt dit onveilige systeem nog gebruikt?

Omdat er in de afgelopen jaren al flink wat kwetsbaarheden verholpen zijn en het product dus inmiddels beter is!

he he he you'd think... but eh ..... en daar is ineens copilot en verplichte MS accounts en recall enzo....
Reageer met quote
09-04-2025, 14:40 door Anoniem
Door Anoniem:
In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits
Waarom wordt dit onveilige systeem nog gebruikt?
Omdat andere OS-en ook vol gaten zitten, maar o.a. ook dit commerciele bedrijf er financieel baat bij heeft deze gaten op te sporen en zo snel als mogelijk te dichten. Bijv. Apple/Linux is niet per definitie veiliger. Hardening en goed gebruik zal bij elk OS de verdediging versterken, net als omgekeerd elk beetje serieus OS gaten zal hebben/houden. Zie ook niet dat dit in de toekomst zal veranderen, regels code en complexiteit neemt enkel toe.
Reageer met quote
09-04-2025, 17:05 door Anoniem
Mijn advies is om niet meer te reageren op opmerkingen zoals die van 11:33 door Anoniem, inhoudsloze content welke helemaal niets toevoegt, zonde van de tijd en de ergernis die ermee gemoeid gaan. Er zijn belangrijkere bijdragen op deze website die onze aandacht verdienen en ons scherp kunnen houden op het gebied van security. Het afkraken van Windows voegt niets toe op het gebied van veiligheid en een ieder die denkt dat een ander OS al de problemen ineens kunnen oplossen zitten blijkbaar nog een leertraject voordat ze wellicht tot de ontdekking komen dat de vork toch anders in de steel zit dan ze dachten.
Reageer met quote
09-04-2025, 19:19 door Anoniem
Door Anoniem:
Door Anoniem:
In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits
Waarom wordt dit onveilige systeem nog gebruikt?

Omdat er in de afgelopen jaren al flink wat kwetsbaarheden verholpen zijn en het product dus inmiddels beter is!
Dat blijkt niet uit patch dinsdag elke maand. Als er al tientallen kwetsbaarheden zijn verholpen in alleen CLFS heb ik er geen vertrouwen meer in.
Reageer met quote
09-04-2025, 19:26 door Anoniem
Door Anoniem: Mijn advies is om niet meer te reageren op opmerkingen zoals die van 11:33 door Anoniem, inhoudsloze content welke helemaal niets toevoegt, zonde van de tijd en de ergernis die ermee gemoeid gaan. Er zijn belangrijkere bijdragen op deze website die onze aandacht verdienen en ons scherp kunnen houden op het gebied van security. Het afkraken van Windows voegt niets toe op het gebied van veiligheid en een ieder die denkt dat een ander OS al de problemen ineens kunnen oplossen zitten blijkbaar nog een leertraject voordat ze wellicht tot de ontdekking komen dat de vork toch anders in de steel zit dan ze dachten.
Hij stelt een hele terechte vraag m.a.w. wat rechtvaardigd nog het gebruik van dit onveilige systeem? Internet webservices bedrijven hebben die keuze al gemaakt want inderdaad een ander OS is veel veiliger (kwaliteit bestaat) en veel makkel;ijker te patchen omdat software lifecycle management superieur is. Handig om te weten.
Reageer met quote
10-04-2025, 19:10 door Anoniem
Waar komt deze aanvaller vandaan?

Gezien het gebruik van meerdere zero days en ransomware lijkt het op wat Noord-Korea doet of deed. Is daar meer over bekend?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure