A ESET revelou que uma vulnerabilidade de dia zero recentemente corrigida no subsistema do kernel Win32 do Windows vinha sendo explorada desde março de 2023. Identificada como CVE-2025-24983, a falha foi descoberta pelo pesquisador Filip Jurčacko e corrigida no Patch Tuesday deste mês. A vulnerabilidade é do tipo “uso após liberação” (UAF) e permite que invasores com privilégios baixos escalem privilégios para SISTEMA sem interação do usuário. No entanto, a Microsoft classificou os ataques como de alta complexidade, pois a exploração exige uma condição de corrida.
Leia também
Plugin de engenharia reversa da Kaspersky em open source
Vigor do EDR faz cibercrime apostar em vishing
A ESET relatou que um exploit para essa falha foi detectado em sistemas comprometidos com o backdoor PipeMagic, um malware que permite exfiltração de dados e acesso remoto. A vulnerabilidade afeta versões antigas do Windows, como Windows Server 2012 R2 e Windows 8.1 (não mais suportadas), mas também está presente em versões ainda suportadas, como Windows Server 2016 e Windows 10 (build 1809 e anteriores).
O malware PipeMagic foi identificado pela Kaspersky em 2022 e já foi usado em ataques de ransomware Nokoyawa que exploraram outra falha de dia zero do Windows, a CVE-2023-28252, no Common Log File System Driver.
No Patch Tuesday de março de 2025, a Microsoft corrigiu outras cinco falhas de dia zero exploradas ativamente, incluindo vulnerabilidades de divulgação de informações no Windows NTFS, execução remota de código no NTFS e no driver FAT rápido, além de um desvio de recurso de segurança no Microsoft Management Console. A CISA adicionou essas vulnerabilidades ao Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais protejam seus sistemas até 1º de abril de 2025. A agência alerta que essas falhas são vetores frequentes de ataque e recomenda que todas as organizações priorizem a aplicação das correções para reduzir a exposição a ameaças cibernéticas.
