05/12/2025
IT-Connect » Actualités » Actu Cybersécurité » Le ransomware Play a exploité une zero-day dans Windows pour pirater une entreprise américaine !

Ransomware Play - Exploitation CVE-2025-29824
Actu Cybersécurité

Le ransomware Play a exploité une zero-day dans Windows pour pirater une entreprise américaine !

Florian BURNEL 0 commentaire

Une faille de sécurité critique présente dans Windows a été exploitée récemment par le gang de ransomware Play pour s'attaquer à l'infrastructure d'une entreprise américaine. Voici ce que l'on sait !

La faille de sécurité CVE-2025-29824 a été corrigée par Microsoft à l'occasion de la sortie du Patch Tuesday d'avril 2025. Cette vulnérabilité de type use-after-free affecte le pilote CLFS (Common Log File System) de Windows. Il s'agit d'un composant lié au système de journalisation de Windows. Son exploitation permet à un attaquant d'élever ses privilèges en tant que SYSTEM, ce qui facilite notamment le déploiement de logiciels malveillants.

Dans un précédent rapport, les chercheurs de Microsoft ont déjà évoqué des attaques orchestrées par le gang de ransomware RansomEXX. Microsoft évoquait notamment des cibles situées aux États-Unis, en Espagne ou encore au Venezuela.

Un nouveau rapport publié par les chercheurs de chez Symantec met en évidence l'exploitation de cette même faille de sécurité par le groupe Play. Il est question de l'exploitation de cette vulnérabilité en tant que faille zero-day. "Des attaquants liés à l'opération de ransomware Play ont déployé un exploit d'escalade de privilèges de type "zero-day" lors d'une tentative d'attaque contre une organisation aux États-Unis.", peut-on lire.

Dans le cadre de l'attaque observée, les cybercriminels n'ont pas déployé leur ransomware, mais un logiciel malveillant différent. Les chercheurs précisent : "Bien qu'aucune charge utile de ransomware n'ait été déployée lors de l'intrusion, les attaquants ont déployé l'infostealer Grixba, un outil personnalisé associé à Balloonfly, lui-même derrière les opérations du ransomware Play." - En effet, Play est également connu sous les noms Balloonfly et PlayCrypt. En s'appuyant sur l'Active Directory de la victime, les pirates sont parvenus à voler des données sur l'ensemble des machines en ligne.

Le ransomware Play est une menace tristement célèbre... De précédents rapports évoquent la compromission de près de 300 organisations à travers le monde. Voici une raison de plus d'installer les mises à jour d'avril 2025 alors que celles de mai 2025 seront publiées la semaine prochaine.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Voir la bio complète
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Microsoft Patch Tuesday Octobre 2023

Patch Tuesday – Octobre 2023 : 104 failles de sécurité corrigées (dont 3 failles zero-day)

Florian BURNEL 1

D’après Microsoft, le ver Raspberry Robin est présent sur plusieurs centaines de réseaux

Florian BURNEL 0

Hacker un compte eBay en 1 minute, c’est possible !

Florian BURNEL 1

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.