Windows-lek wordt misbruikt voor gevaarlijke PipeMagic-aanvallen
Via het lek, dat gevolgd wordt onder de code CVE-2025-29824, is het voor aanvallers mogelijk om snel adminrechten te krijgen en zo de geavanceerde backdoor PipeMagic te installeren. Daarna volgt meestal ook nog RansomExx-ransomware.
Voor een succesvolle aanval moeten cybercriminelen zich wel eerst toegang verschaffen tot het systeem dat ze viseren. Dat gebeurt meestal via iets als een phishingmail of een ander lek. Het voordeel is dat je met wat gezond verstand dus al veel problemen kan vermijden, simpelweg door bijvoorbeeld geen verdachte bestanden van een onbekende afzender te openen. Trap je wel in de val, dan zit je met de gebakken peren.
Modulaire malware
Zoals gezegd werken de aanvallers met PipeMagic. Dat is modulaire malware die na de initiële basisinstallatie, die voor een computersysteem en anti-virusprogramma’s vaak als onverdacht bestempeld wordt, vanaf een server nog extra onderdelen gaat halen. Daarna kan de malware bestanden lezen en schrijven, extra code injecteren en opdrachten uitvoeren.
De naam “PipeMagic” verwijst naar het systeem van zogenaamde “named pipes”, onzichtbare “buizen” waarmee programma’s op eenzelfde computer met elkaar communiceren. PipeMagic kan willekeurige buizen aanmaken om communicatie mee te versleutelen en nieuwe, malafide ladingen te ontplooien. Op die manier blijft de malware grotendeels buiten het zicht van traditionele antivirusprogramma’s.
Wereldwijd infecties
Dit type aanval is niet nu pas boven water gekomen. Cybercriminelen maken er al een tijdje gebruik van, maar dit jaar zijn er ook nog eens verschillende varianten van beginnen opduiken. In eerste instantie leken vooral organisaties in Saudi-Arabië, Brazilië en Zuidoost-Azië het doelwit te zijn, maar gaandeweg werd het aanvalspatroon verder ontwikkeld en begonnen ook in andere regio’s aanvallen op te duiken.
Inmiddels worden wereldwijd infecties vastgesteld, waarbij de malware zichzelf automatisch een weg baant doorheen de interne netwerken van organisaties waar de aanvallers zijn kunnen binnendringen. Vooral sectoren als IT, financiën en vastgoed zouden geviseerd worden.
Updaten is de boodschap
Zoals gezegd is er specifiek voor het lek onder de code CVE-2025-29824 al sinds april een patch beschikbaar. Bedrijven maar ook particulieren doen er dus goed aan om er zeker van te zijn dat hun systemen helemaal bijgewerkt zijn met alle updates. Zo wordt alvast verhinderd dat aanvallers op deze manier hun slag kunnen slaan. Helaas blijkt uit onderzoek dat veel systemen nog niet up-to-date zijn.
Los van dit specifieke lek kunnen aanvallers natuurlijk nog steeds op andere manieren malware op computers installeren, ook de modulaire PipeMagic waarover het hier gaat. In zo goed als alle gevallen echter moeten slachtoffers zelf eerst een verdacht bestand openen alvorens de malware zijn ding kan doen. Het blijft dan ook belangrijk om in de eerste plaats je gezond verstand te gebruiken en verdachte mails, links en bestanden in geen geval te openen.
