A Microsoft informou que uma vulnerabilidade crítica de travessia de caminho (path traversal) no Output Messenger vem sendo explorada ativamente para fins de espionagem. A falha foi corrigida em uma atualização publicada em 25 de dezembro pelos desenvolvedores da plataforma.
Leia também
Iran afirma ter repelido ataque cibernético complexo
Operação da lei derruba botnet com 7 mil roteadores
O Output Messenger é uma ferramenta de comunicação corporativa que permite troca de mensagens, chamadas, gerenciamento de tarefas e compartilhamento de arquivos. A vulnerabilidade, identificada como CVE-2025-27920, tem pontuação de gravidade 9,8 em 10 e pode permitir o acesso a dados confidenciais e a comunicações de qualquer usuário da rede.
Segundo a Microsoft, para que o ataque funcione, o invasor precisa ter as credenciais do usuário. A empresa suspeita que esses dados foram obtidos por meio de sequestro de DNS e typosquatting de domínios, técnicas já usadas em outras campanhas anteriores.
O ataque explora a falha para inserir arquivos maliciosos no diretório de inicialização do servidor, permitindo também a instalação de um backdoor. Isso amplia o alcance da intrusão e possibilita novos ataques com usuários comprometidos.
A Microsoft atribui os ataques a um grupo de espionagem chamado Marbled Dust, que estaria ligado à Turquia. A falha foi usada em ataques contra operações militares curdas no Iraque desde abril de 2024.
