A empresa eslovaca de cibersegurança ESET anunciou que uma vulnerabilidade zero-day recentemente corrigida no Subsistema do Kernel Win32 do Windows foi explorada em ataques desde março de 2023.
Corrigida nas atualizações de segurança do Windows lançadas durante o Patch Tuesday deste mês, a falha de segurança agora é identificada como
CVE-2025-24983
e foi reportada à Microsoft pelo pesquisador da ESET, Filip Jurčacko.
A vulnerabilidade é causada por uma fragilidade de use-after-free que permite a atacantes com privilégios baixos ganharem privilégios de SYSTEM sem requerer interação do usuário.
No entanto, a Microsoft classificou tais ataques como de alta complexidade, já que a exploração bem-sucedida requer que os atores de ameaças vençam uma condição de corrida.
A ESET disse na terça-feira que um exploit zero-day visando a vulnerabilidade
CVE-2025-24983
foi "visto pela primeira vez no mundo selvagem" em março de 2023 em sistemas comprometidos usando o malware PipeMagic.
Esse exploit visa apenas versões mais antigas do Windows (Windows Server 2012 R2 e Windows 8.1) que a Microsoft não oferece mais suporte.
No entanto, a vulnerabilidade também afeta versões mais novas do Windows, incluindo os sistemas Windows Server 2016 e Windows 10 ainda suportados, rodando a compilação 1809 do Windows 10 ou anterior.
"A vulnerabilidade use-after-free (UAF) está relacionada ao uso impróprio de memória durante a operação do software.
Isso pode levar a falhas no software, execução de código malicioso (inclusive remotamente), escalação de privilégios ou corrupção de dados", informou a ESET.
O exploit foi implementado via backdoor PipeMagic, capaz de exfiltrar dados e habilitar acesso remoto à máquina.
PipeMagic foi descoberto pela Kaspersky em 2022, e pode ser usado para colher dados sensíveis, fornece aos atacantes acesso remoto total aos dispositivos infectados, e os habilita a implantar payloads maliciosos adicionais para se moverem lateralmente através das redes das vítimas.
Em 2023, a Kaspersky viu o PipeMagic sendo implantado em ataques de ransomware Nokoyawa que exploraram outra vulnerabilidade zero-day do Windows, uma falha de escalonamento de privilégio no Driver do Sistema de Arquivos de Log Comum, identificada como
CVE-2023-28252
.
Durante o Patch Tuesday de março de 2025, a Microsoft também corrigiu as seguintes cinco vulnerabilidades zero-day classificadas como ativamente exploradas:
CVE-2025-24984
- Vulnerabilidade de Divulgação de Informação do Windows NTFS
CVE-2025-24985
- Vulnerabilidade de Execução de Código Remoto do Driver do Sistema de Arquivos Fast FAT do Windows
CVE-2025-24991
- Vulnerabilidade de Divulgação de Informação do Windows NTFS
CVE-2025-24993
- Vulnerabilidade de Execução de Código Remoto do Windows NTFS
CVE-2025-26633
- Vulnerabilidade de Bypass de Recurso de Segurança do Microsoft Management Console
Ontem, a CISA adicionou todos os seis zero-days ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, ordenando que as agências da Filial Executiva Civil Federal (FCEB) assegurem seus sistemas até o dia 1º de abril, conforme exigido pela Diretiva Operacional Vinculante (BOD) 22-01.
"Esse tipo de vulnerabilidade são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para o empreendimento federal", alertou a agência de cibersegurança dos EUA.
Embora a BOD 22-01 aplique-se apenas às agências FCEB, a CISA recomenda fortemente que todas as organizações reduzam sua exposição a ataques cibernéticos priorizando a remediação oportuna de vulnerabilidades do Catálogo como parte de sua prática de gestão de vulnerabilidades.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...