Microsoft: Una vulnerabilidad en Windows CLFS podría provocar una “amplia implementación y propagación de ransomware”
Microsoft ha detectado una vulnerabilidad de día cero en el Sistema de Archivos de Registro Común de Windows (CLFS), que se está explotando para distribuir ransomware. Los sectores objetivo incluyen TI, bienes raíces, finanzas, software y comercio minorista, con empresas con sede en EE. UU., España, Venezuela y Arabia Saudita.
La vulnerabilidad, identificada como CVE-2025-29824 y clasificada como “importante”, está presente en el controlador del kernel CLFS. Permite a un atacante con acceso de usuario estándar a un sistema escalar sus privilegios locales. Posteriormente, puede usar su acceso privilegiado para la “implementación y detonación generalizada de ransomware en un entorno”, según una entrada de blog del Centro de Inteligencia de Amenazas de Microsoft .
El controlador CFLS es un elemento clave de Windows que se utiliza para escribir registros de transacciones, y su uso indebido podría permitir a un atacante obtener privilegios de sistema. Desde allí, podrían robar datos o instalar puertas traseras. Microsoft suele descubrir vulnerabilidades de escalada de privilegios en CFLS; la última se parcheó en diciembre .
En los casos de explotación de CVE-2025-29824 observados por Microsoft, el malware denominado “PipeMagic” se implementó antes de que los atacantes pudieran explotar la vulnerabilidad para escalar sus privilegios. PipeMagic proporciona a los atacantes control remoto sobre un sistema y les permite ejecutar comandos o instalar herramientas más maliciosas.
