Falha de out-of-bounds no DWM exige update imediato

CVE-2025-55681 é uma vulnerabilidade de out-of-bounds no Desktop Window Manager (DWM) que permite a um usuário local com poucos privilégios escalar para SYSTEM em Windows 10, 11 e todas as edições suportadas de Windows Server de 2016 a 2025. O bug foi demonstrado na competição TyphoonPWN e já tem patch disponibilizado pela Microsoft, que o descreve como um problema de leitura fora dos limites combinado a desreferência de ponteiro não confiável em dwmcore.dll.

Onde está o bug e quem é afetado

A falha está na função CBrushRenderingGraphBuilder::AddEffectBrush dentro da biblioteca dwmcore.dll, componente central do DWM responsável por efeitos visuais e operações gráficas na área de trabalho.
Um atacante autenticado localmente pode explorar o manuseio incorreto de buffers para provocar acesso fora dos limites (CWE‑125/CWE‑822) e forçar execução de código com privilégios elevados.

Todas as versões suportadas de Windows 10, Windows 11 e Windows Server 2016, 2019, 2022 e 2025 são listadas como afetadas.​ O CVSS v3.1 divulgado por diferentes fontes varia entre 7,0 e 7,8 (alto), com vetor que indica acesso local, poucos privilégios, nenhuma interação do usuário e alto impacto em confidencialidade, integridade e disponibilidade.

Como a exploração funciona

Segundo os detalhes técnicos divulgados, o problema decorre de um cálculo incorreto de tamanho em uma operação de buffer dentro do fluxo de renderização, permitindo acesso a memória além dos limites previstos.
Com uma sequência cuidadosamente construída de chamadas que levam o DWM a processar dados gráficos malformados, um atacante consegue corromper estruturas internas e redirecionar o fluxo de execução.

O exploit demonstrado em TyphoonPWN mostrou que um usuário com privilégios baixos consegue explorar o bug de forma confiável em Windows 11, usando técnicas de heap grooming para preparar a memória do processo DWM e, em seguida, gatilhar o acesso fora dos limites.​ Em Windows 10, a exploração ainda funciona, mas com estabilidade reduzida devido a diferenças na gestão de heap entre versões.

Risco em ambientes corporativos

Por exigir apenas acesso local autenticado e nenhuma interação adicional, o CVE‑2025‑55681 é especialmente perigoso como segunda etapa após phishing, roubo de credenciais ou execução de código via outra falha menos privilegiada.​ Uma vez com privilégios SYSTEM, o invasor pode instalar malware, desativar EDR/antivírus, alterar configurações de segurança e exfiltrar dados sensíveis com amplo acesso.

Em ambientes com acesso remoto (VPN, VDI, jump servers compartilhados), qualquer conta de usuário comum comprometida pode ser usada como ponto de partida para explorar o DWM e tomar a máquina, ampliando o risco de movimento lateral na rede.​ Isso torna a correção prioritária em estações de trabalho de admins, servidores de terminal e servidores que concentram serviços críticos.

Patches e recomendações

A Microsoft lançou correções para o CVE‑2025‑55681 em seu ciclo de atualizações (Patch Tuesday) de outubro de 2025, com pacotes disponíveis via Windows Update, WSUS e Catálogo de Atualizações para todas as plataformas afetadas.​ O advisory do MSRC orienta que clientes apliquem imediatamente as atualizações cumulativas ou de segurança que incluem a versão corrigida do dwmcore.dll.

A SSD Secure Disclosure, que apresentou o bug na TyphoonPWN, reforça que organizações devem tratar essa atualização como prioridade, dado o baixo esforço de exploração para quem já obteve acesso local.
Até a aplicação do patch, recomenda-se restringir ao máximo oportunidades de execução de código local: endurecer políticas de acesso, evitar contas compartilhadas, aplicar princípio do menor privilégio e desabilitar serviços desnecessários em estações e servidores.

Medidas adicionais de mitigação

Embora não existam mitigações específicas documentadas para o DWM além do patch, boas práticas gerais ajudam a reduzir o impacto de LPEs desse tipo.​ Entre elas: segmentação de rede para limitar o movimento lateral, uso de EDR capaz de detectar comportamento anômalo pós‑exploit, e monitoramento de criação de processos e alterações críticas em sistemas onde usuários não deveriam escalar privilégios.

Equipes de segurança também podem priorizar varreduras de postura para identificar máquinas ainda sem o update de outubro/2025, focando primeiro em ativos com exposição maior (VPN, WFH, estações de admins).
Dado o interesse recorrente de pesquisadores e atacantes em bugs de DWM, manter sistemas atualizados e acompanhar advisories da Microsoft e de iniciativas como SSD‑Disclosure é essencial para reduzir janelas de exposição futuras.