Zero-Day do Windows é corrigida
13 de Março de 2025

A empresa eslovaca de cibersegurança ESET anunciou que uma vulnerabilidade zero-day recentemente corrigida no Subsistema do Kernel Win32 do Windows foi explorada em ataques desde março de 2023.

Corrigida nas atualizações de segurança do Windows lançadas durante o Patch Tuesday deste mês, a falha de segurança agora é identificada como CVE-2025-24983 e foi reportada à Microsoft pelo pesquisador da ESET, Filip Jurčacko.

A vulnerabilidade é causada por uma fragilidade de use-after-free que permite a atacantes com privilégios baixos ganharem privilégios de SYSTEM sem requerer interação do usuário.

No entanto, a Microsoft classificou tais ataques como de alta complexidade, já que a exploração bem-sucedida requer que os atores de ameaças vençam uma condição de corrida.

A ESET disse na terça-feira que um exploit zero-day visando a vulnerabilidade CVE-2025-24983 foi "visto pela primeira vez no mundo selvagem" em março de 2023 em sistemas comprometidos usando o malware PipeMagic.

Esse exploit visa apenas versões mais antigas do Windows (Windows Server 2012 R2 e Windows 8.1) que a Microsoft não oferece mais suporte.

No entanto, a vulnerabilidade também afeta versões mais novas do Windows, incluindo os sistemas Windows Server 2016 e Windows 10 ainda suportados, rodando a compilação 1809 do Windows 10 ou anterior.

"A vulnerabilidade use-after-free (UAF) está relacionada ao uso impróprio de memória durante a operação do software.

Isso pode levar a falhas no software, execução de código malicioso (inclusive remotamente), escalação de privilégios ou corrupção de dados", informou a ESET.

O exploit foi implementado via backdoor PipeMagic, capaz de exfiltrar dados e habilitar acesso remoto à máquina.

PipeMagic foi descoberto pela Kaspersky em 2022, e pode ser usado para colher dados sensíveis, fornece aos atacantes acesso remoto total aos dispositivos infectados, e os habilita a implantar payloads maliciosos adicionais para se moverem lateralmente através das redes das vítimas.

Em 2023, a Kaspersky viu o PipeMagic sendo implantado em ataques de ransomware Nokoyawa que exploraram outra vulnerabilidade zero-day do Windows, uma falha de escalonamento de privilégio no Driver do Sistema de Arquivos de Log Comum, identificada como CVE-2023-28252 .

Durante o Patch Tuesday de março de 2025, a Microsoft também corrigiu as seguintes cinco vulnerabilidades zero-day classificadas como ativamente exploradas:

CVE-2025-24984 - Vulnerabilidade de Divulgação de Informação do Windows NTFS
CVE-2025-24985 - Vulnerabilidade de Execução de Código Remoto do Driver do Sistema de Arquivos Fast FAT do Windows
CVE-2025-24991 - Vulnerabilidade de Divulgação de Informação do Windows NTFS
CVE-2025-24993 - Vulnerabilidade de Execução de Código Remoto do Windows NTFS
CVE-2025-26633 - Vulnerabilidade de Bypass de Recurso de Segurança do Microsoft Management Console

Ontem, a CISA adicionou todos os seis zero-days ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, ordenando que as agências da Filial Executiva Civil Federal (FCEB) assegurem seus sistemas até o dia 1º de abril, conforme exigido pela Diretiva Operacional Vinculante (BOD) 22-01.

"Esse tipo de vulnerabilidade são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para o empreendimento federal", alertou a agência de cibersegurança dos EUA.

Embora a BOD 22-01 aplique-se apenas às agências FCEB, a CISA recomenda fortemente que todas as organizações reduzam sua exposição a ataques cibernéticos priorizando a remediação oportuna de vulnerabilidades do Catálogo como parte de sua prática de gestão de vulnerabilidades.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...