Microsoft baru aja ngumumin kalau geng ransomware RansomEXX berhasil manfaatin celah keamanan di sistem Windows buat ngambil alih kendali penuh alias hak SYSTEM di komputer korbannya. Celah ini dikenal dengan kode CVE-2025-29824 dan baru ditambal di pembaruan keamanan edisi Maret 2025, atau yang biasa disebut Patch Tuesday.
Celah ini ada di Windows Common Log File System dan termasuk dalam kategori zero-day, artinya celah ini belum diketahui publik tapi udah diserang duluan. Seremnya lagi, celah ini tergolong use-after-free, yang memungkinkan penyerang dengan hak akses rendah bisa langsung naik level jadi SYSTEM tanpa perlu interaksi dari pengguna. Tinggal masuk, eksploit, beres.
Walau serangannya nggak meluas, beberapa sektor penting udah kena: mulai dari perusahaan teknologi dan properti di Amerika Serikat, sektor keuangan di Venezuela, perusahaan software di Spanyol, sampai sektor ritel di Arab Saudi.
Microsoft bilang pengguna Windows 11 versi 24H2 aman dari serangan ini, meskipun celahnya sebenernya juga ada di versi itu. Tapi tetap disarankan buat segera update sistem, apalagi kalau kamu pakai Windows versi lain.
Menariknya, serangan ini diawali dengan pemasangan malware bernama PipeMagic di komputer korban. Malware ini jadi jalan masuk buat ngejalanin eksploit CVE-2025-29824, lalu nyebarin file ransomware dan pesan tebusan dengan nama !READ_ME_REXX2!.txt.
PipeMagic sendiri bukan pendatang baru. Malware ini udah eksis sejak 2022 dan pernah dipakai buat serang celah zero-day lain di Windows Kernel. Selain ngumpulin data sensitif, malware ini juga bisa kasih akses penuh ke penyerang buat ngontrol sistem secara remote dan menyebarkan serangan ke jaringan internal perusahaan.
Oh iya, RansomEXX ini dulunya dikenal sebagai Defray sebelum rebranding di 2020. Mereka pernah nyasar perusahaan-perusahaan gede kayak GIGABYTE, Konica Minolta, bahkan instansi pemerintah seperti TxDOT dan pengadilan di Brasil. Buat yang belum update Windows-nya, mending buru-buru deh. Jangan sampai kejadian ini nyambung ke kamu.