A vulnerabilidade CVE-2025-29824 no componente Windows Common Log Filesystem (CLFS) foi ativamente explorada por grupos maliciosos antes da Microsoft lançar o patch de segurança em 8 de abril. A informação foi confirmada pela Symantec, que analisou um ataque envolvendo o malware Grixba, um infostealer usado para reconhecimento e coleta de dados em redes comprometidas.
Leia também
Ataques de ransomware no agro dobraram em 2024
Organizações ignoram riscos quânticos iminentes
A falha permite a escalada de privilégios locais até o nível de SISTEMA, oferecendo controle total sobre o host afetado. De acordo com a investigação da Symantec, os atacantes inicialmente invadiram um firewall Cisco ASA e, posteriormente, acessaram um sistema Windows onde exploraram a vulnerabilidade para expandir o controle.
A Microsoft já havia relatado o uso da CVE-2025-29824 em campanhas de ransomware, mas os detalhes do caso analisado pela Symantec sugerem que grupos diferentes exploraram a falha com finalidades distintas — neste caso, para espionagem e preparação para ataques futuros, não necessariamente criptografia de dados.
O CLFS tem sido um alvo recorrente de cibercriminosos nos últimos anos, com múltiplas vulnerabilidades exploradas antes da disponibilização de correções. A reincidência indica fragilidade estrutural no componente e alto valor tático para ataques com escalada de privilégios.
A recomendação é que todas as organizações apliquem urgentemente a atualização de segurança de abril e reforcem a monitoração de comportamentos anômalos em firewalls e endpoints, especialmente com foco em tentativas de elevação de privilégio e movimentações laterais.
