Vulnerabilidade de dia zero explorada no Windows por grupo de ransomware

Vulnerabilidade de dia zero explorada no Windows por grupo de ransomware

Urgente: Nova vulnerabilidade de dia zero do Windows e atualizações essenciais de segurança

Ontem mesmo, a Microsoft anunciou atualizações críticas de segurança para o Windows, enfatizando a importância de ações imediatas para proteger seus sistemas contra uma vulnerabilidade de dia zero recém-descoberta que está sendo explorada em larga escala.

A vulnerabilidade, identificada como Vulnerabilidade de Elevação de Privilégio do Driver do Sistema de Arquivos de Log Comum do Windows, recebeu o identificador de rastreamento CVE-2025-29824.

Visão geral da vulnerabilidade

Aqui estão alguns detalhes vitais sobre a vulnerabilidade e seu impacto nos sistemas Windows:

  • A vulnerabilidade afeta várias versões suportadas do Windows, incluindo Windows 10, Windows 11 e Windows Server 2025.
  • Vale ressaltar que o exploit não afeta o Windows 11, versão 24H2.
  • Essa vulnerabilidade específica é caracterizada como uma falha de segurança do tipo “use after free”, que potencialmente permite que invasores executem ataques de elevação local.
  • O mais importante é que nenhuma interação do usuário é necessária para que a exploração seja bem-sucedida.
  • Após a exploração bem-sucedida, os invasores podem obter privilégios elevados no sistema, representando uma ameaça significativa.

Insights sobre ataques direcionados

A Microsoft informou que, embora os ataques sejam atualmente limitados, eles têm como alvo específico vários setores, incluindo:

  • Indústrias de TI nos Estados Unidos.
  • O setor imobiliário nos Estados Unidos.
  • O setor financeiro na Venezuela.
  • Uma empresa de software espanhola.
  • Operações de varejo na Arábia Saudita.

Para mais informações, consulte o anúncio oficial da Microsoft no blog de segurança.

Guia de instalação de atualização

Para mitigar os riscos associados a essa vulnerabilidade perigosa, os usuários devem instalar imediatamente as atualizações de segurança relevantes:

  • Usuários do Windows 11 podem instalar o patch rapidamente acessando Configurações > Windows Update nas configurações do sistema. Será necessário reiniciar o sistema para concluir a instalação.
  • Infelizmente, a Microsoft anunciou um atraso na distribuição do patch para o Windows 10. Não há um cronograma específico para quando ele estará disponível, portanto, os usuários devem permanecer vigilantes e monitorar a página oficial do CVE no site da Microsoft para atualizações.

Detalhes de Exploração Técnica

Do ponto de vista técnico, a vulnerabilidade reside no driver do kernel do Common Log File System (CLFS).A Microsoft observou que o vetor de ataque inicial ainda está sob investigação; no entanto, a empresa identificou comportamentos significativos de pré-exploração associados ao Storm-2460, um notório coletivo de ransomware.

Os comportamentos dignos de nota observados incluem:

  • Uso da certutilferramenta para baixar arquivos nocivos de sites legítimos, porém comprometidos.
  • O arquivo baixado é um arquivo MSBuild malicioso.
  • O malware identificado, conhecido como PipeMagic, está associado a ataques desde 2023.
  • Após a implantação do malware, a vulnerabilidade é aproveitada para injetar processos nas operações do sistema.

O malware é capaz de extrair e analisar a memória LSASS para capturar credenciais do usuário, levando a atividades de ransomware subsequentes caracterizadas pela criptografia de arquivos e imposição de extensões aleatórias.

Recomendações Finais

Diante desses acontecimentos, a Microsoft recomenda veementemente que os usuários instalem os patches de segurança disponíveis para o Windows sem demora. O adiamento do patch para o Windows 10 é preocupante, pois deixa esses sistemas vulneráveis ​​até que a Microsoft libere a correção necessária.

Sua vez:

Perguntas frequentes

1. O que é a vulnerabilidade CVE-2025-29824 e como ela pode afetar meu sistema Windows?

A vulnerabilidade CVE-2025-29824 é um problema de elevação de privilégios no Sistema de Arquivos de Log Comum do Windows, permitindo que invasores obtenham privilégios de sistema sem a necessidade de interação do usuário. Isso pode levar a violações significativas de dados e interrupções operacionais potencialmente graves.

2. Como posso verificar se meu sistema Windows está vulnerável a esse exploit?

Se estiver usando o Windows 10 ou uma versão anterior, você está vulnerável. Verifique se há atualizações de segurança em Configurações > Windows Update. Para usuários do Windows 11, a Microsoft já disponibilizou um patch, portanto, certifique-se de instalá-lo para proteger seu sistema.

3. O que devo fazer se estiver usando o Windows 10 e o patch estiver atrasado?

Como o patch para o Windows 10 foi adiado, é crucial monitorar a página oficial do CVE da Microsoft para atualizações. Limite sua atividade online sempre que possível e considere medidas externas adicionais de segurança cibernética para proteger seus dados durante este período vulnerável.

Fonte e Imagens

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *