A ExpressVPN corrigiu uma falha em seu cliente Windows que fazia com que o tráfego do Remote Desktop Protocol (RDP) contornasse o túnel da rede virtual privada (VPN), expondo os endereços IP reais dos usuários.
Uma das premissas fundamentais de uma VPN é mascarar o endereço IP de um usuário, permitindo que os usuários permaneçam anônimos online e, em alguns casos, contornem a censura.
Não conseguir fazer isso é uma falha técnica grave para um produto VPN.
A ExpressVPN é uma provedora de serviços VPN líder, consistentemente classificada entre os melhores serviços de VPN e utilizada por milhões de pessoas em todo o mundo.
Ela utiliza servidores que só operam com RAM, que não retêm dados do usuário, e adere a uma política de não registro (no-logs policy) auditada.
Em 25 de abril de 2025, um pesquisador de segurança conhecido como "Adam-X" notificou uma vulnerabilidade por meio do programa de recompensas por bugs da ExpressVPN que expunha o RDP e outro tráfego TCP transmitido pela porta 3389.
Ao investigar, a equipe da ExpressVPN descobriu que o problema foi causado por restos de código de depuração (debug code) utilizados para testes internos, que foram erroneamente incluídos nas builds de produção, especificamente, da versão 12.97 (lançada quatro meses atrás) até a 12.101.0.2-beta.
"Se um usuário estabelecesse uma conexão usando RDP, esse tráfego poderia contornar o túnel VPN", reportou a ExpressVPN em um anúncio.
Isso não afetou a criptografia, mas significava que o tráfego das conexões RDP não era roteado através da ExpressVPN como esperado.
Como resultado, um observador, como um ISP ou alguém na mesma rede, poderia ter visto não apenas que o usuário estava conectado à ExpressVPN, mas também que estavam acessando servidores remotos específicos via RDP—informações que normalmente estariam protegidas.
Uma correção foi disponibilizada com a versão 12.101.0.45 da ExpressVPN, lançada em 18 de junho de 2025.
A empresa de privacidade observa que o lapso de segurança não comprometeu a criptografia nos túneis, e os cenários de vazamento afetam apenas aqueles usando o Remote Desktop Protocol (RDP), o que eles consideram ser de baixo risco para seus clientes.
"Como mencionado acima, na prática, esse problema teria afetado mais comumente usuários que estavam ativamente usando RDP—um protocolo que geralmente não é utilizado por consumidores típicos", lê-se no comunicado da ExpressVPN.
Dado que a base de usuários da ExpressVPN é composta predominantemente por usuários individuais, em vez de clientes empresariais, o número de usuários afetados provavelmente é pequeno.
O RDP é um protocolo de rede da Microsoft que permite aos usuários controlar remotamente sistemas Windows através de uma rede, usado por administradores de TI, trabalhadores remotos e empresas.
Ainda assim, recomenda-se que os usuários atualizem seus clientes Windows para a versão 12.101.0.45 para a máxima proteção.
A ExpressVPN afirma que fortalecerá suas verificações internas de build para evitar que bugs semelhantes sejam introduzidos na produção no futuro, incluindo a melhoria da automação em testes de desenvolvimento.
No ano passado, a ExpressVPN enfrentou outro problema que causava vazamentos de solicitações DNS quando os usuários ativavam o recurso de "split tunneling" no cliente Windows.
O recurso foi temporariamente desativado até que uma correção fosse implementada em uma versão futura.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...