Zero-Day do Windows é corrigida
13 de Março de 2025

A empresa eslovaca de cibersegurança ESET anunciou que uma vulnerabilidade zero-day recentemente corrigida no Subsistema do Kernel Win32 do Windows foi explorada em ataques desde março de 2023.

Corrigida nas atualizações de segurança do Windows lançadas durante o Patch Tuesday deste mês, a falha de segurança agora é identificada como CVE-2025-24983 e foi reportada à Microsoft pelo pesquisador da ESET, Filip Jurčacko.

A vulnerabilidade é causada por uma fragilidade de use-after-free que permite a atacantes com privilégios baixos ganharem privilégios de SYSTEM sem requerer interação do usuário.

No entanto, a Microsoft classificou tais ataques como de alta complexidade, já que a exploração bem-sucedida requer que os atores de ameaças vençam uma condição de corrida.

A ESET disse na terça-feira que um exploit zero-day visando a vulnerabilidade CVE-2025-24983 foi "visto pela primeira vez no mundo selvagem" em março de 2023 em sistemas comprometidos usando o malware PipeMagic.

Esse exploit visa apenas versões mais antigas do Windows (Windows Server 2012 R2 e Windows 8.1) que a Microsoft não oferece mais suporte.

No entanto, a vulnerabilidade também afeta versões mais novas do Windows, incluindo os sistemas Windows Server 2016 e Windows 10 ainda suportados, rodando a compilação 1809 do Windows 10 ou anterior.

"A vulnerabilidade use-after-free (UAF) está relacionada ao uso impróprio de memória durante a operação do software.

Isso pode levar a falhas no software, execução de código malicioso (inclusive remotamente), escalação de privilégios ou corrupção de dados", informou a ESET.

O exploit foi implementado via backdoor PipeMagic, capaz de exfiltrar dados e habilitar acesso remoto à máquina.

PipeMagic foi descoberto pela Kaspersky em 2022, e pode ser usado para colher dados sensíveis, fornece aos atacantes acesso remoto total aos dispositivos infectados, e os habilita a implantar payloads maliciosos adicionais para se moverem lateralmente através das redes das vítimas.

Em 2023, a Kaspersky viu o PipeMagic sendo implantado em ataques de ransomware Nokoyawa que exploraram outra vulnerabilidade zero-day do Windows, uma falha de escalonamento de privilégio no Driver do Sistema de Arquivos de Log Comum, identificada como CVE-2023-28252 .

Durante o Patch Tuesday de março de 2025, a Microsoft também corrigiu as seguintes cinco vulnerabilidades zero-day classificadas como ativamente exploradas:

CVE-2025-24984 - Vulnerabilidade de Divulgação de Informação do Windows NTFS
CVE-2025-24985 - Vulnerabilidade de Execução de Código Remoto do Driver do Sistema de Arquivos Fast FAT do Windows
CVE-2025-24991 - Vulnerabilidade de Divulgação de Informação do Windows NTFS
CVE-2025-24993 - Vulnerabilidade de Execução de Código Remoto do Windows NTFS
CVE-2025-26633 - Vulnerabilidade de Bypass de Recurso de Segurança do Microsoft Management Console

Ontem, a CISA adicionou todos os seis zero-days ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, ordenando que as agências da Filial Executiva Civil Federal (FCEB) assegurem seus sistemas até o dia 1º de abril, conforme exigido pela Diretiva Operacional Vinculante (BOD) 22-01.

"Esse tipo de vulnerabilidade são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para o empreendimento federal", alertou a agência de cibersegurança dos EUA.

Embora a BOD 22-01 aplique-se apenas às agências FCEB, a CISA recomenda fortemente que todas as organizações reduzam sua exposição a ataques cibernéticos priorizando a remediação oportuna de vulnerabilidades do Catálogo como parte de sua prática de gestão de vulnerabilidades.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...