У рамках квітневого вівторка оновлень компанія Microsoft випустила патчі для більш ніж 120 вразливостей, включно з однією вразливістю нульового дня, яку вже застосовували хакери.

Загалом цього місяця було усунуто 11 критичних вразливостей, і всі вони були пов’язані з віддаленим виконанням довільного коду.

Також було виправлено одну 0-day вразливість, яка вже перебуває під атаками. Нагадаємо, що Microsoft відносить до вразливостей нульового дня всі баги, інформацію про які було публічно розкрито до виходу патчів, а також проблеми, які вже застосовували в реальних атаках.

0-day CVE-2025-29824 (7,8 бала за шкалою CVSS) належить до другої категорії і пов’язана з ескалацією привілеїв у драйвері Windows Common Log File System. За даними компанії, ця проблема належить до типу use-after-free і дає змогу локальним зловмисникам отримати привілеї рівня SYSTEM на вразливому пристрої без участі користувача.

«Оновлення безпеки для систем x64 Windows 10 і 32-бітних версій Windows 10 поки недоступні, – повідомляє Microsoft. – Ці оновлення буде випущено якнайшвидше, і коли вони стануть доступними, користувачі будуть сповіщені про це за допомогою зміни в інформації про цей CVE».

Також за даними Microsoft, поки випуск патчів для Windows 10 LTSB 2015 теж тимчасово відкладено, але їх буде випущено в найближчому майбутньому.

Як повідомили в компанії, CVE-2025-29824 використовувалася в атаках хак-групи вимагачів RansomEXX (вона ж Storm-2460), і з її допомогою зловмисники підвищували привілеї в системах жертв.

Підкреслюється, що баг застосовували лише в обмеженій кількості атак, але серед постраждалих були компанії, що працюють у сфері інформаційних технологій і нерухомості в США, фінансовий сектор у Венесуелі, іспанська компанія-розробник ПЗ і підприємства роздрібної торгівлі в Саудівській Аравії.

«Користувачів Windows 11 24H2 експлуатація вразливості не торкнулася, навіть якщо проблема була присутня в системі. Microsoft настійно рекомендує користувачам якомога швидше встановити оновлення», – повідомляють у компанії.

Відомо, що зловмисники розгортали у зламаних системах бекдор PipeMagic, який використовували для розгортання експлойта для CVE-2025-29824, вимагальницького корисного навантаження і шифрування файлів.

Як раніше повідомляли аналітики компанії ESET, також PipeMagic використовували для розгортання експлойтів, націлених на іншу вразливість нульового дня в підсистемі ядра Windows Win32 – CVE-2025-24983. Причому цю проблему зловмисники застосовували в атаках із березня 2023 року.

Малвар PipeMagic було виявлено експертами «Лабораторії Касперського» ще 2022 року. Шкідник здатний збирати конфіденційні дані, надавати зловмисникам повний віддалений доступ до заражених пристроїв і розгортати додаткові корисні навантаження для бічного переміщення мережами жертв.

У 2023 році фахівці «Лабораторії Касперського» спостерігали застосування PipeMagic в атаках вимагача Nokoyawa, коли зловмисники використовували іншу вразливість нульового дня в Windows, пов’язану з підвищенням привілеїв у драйвері файлової системи Common Log (CVE-2023-28252).