Pesquisadores da ACROS descobriram uma vulnerabilidade de dia zero no Windows que permite o roubo de hashes NTLM sem qualquer interação do usuário. A falha ainda não recebeu um identificador CVE, mas já foi classificada como perigosa, pois afeta todas as versões do Windows, do Windows 7 ao Windows 11, além das versões de servidor do Server 2008 R2 ao Server 2025.
Leia também
CrushFTP alerta sobre falha crítica
Jogo falso na Steam espalha malware
A exploração ocorre quando um usuário simplesmente visualiza uma pasta contendo um arquivo SCF malicioso. Isso pode acontecer ao abrir um pen drive, acessar uma pasta de rede ou visualizar o diretório “Downloads”, onde um arquivo SCF pode ter sido salvo automaticamente de uma página maliciosa. Quando a pasta é aberta, o Windows tenta processar o arquivo SCF e, inadvertidamente, envia o hash NTLM da vítima para um servidor remoto controlado pelo invasor.
O NTLM é amplamente explorado em ataques pass-the-hash e de retransmissão, permitindo que hackers se autentiquem em redes corporativas, obtenham acesso a sistemas protegidos e expandam seus ataques. Esse tipo de vulnerabilidade já foi explorado contra servidores Exchange e outras infraestruturas críticas no passado.
Embora tais falhas não sejam consideradas críticas devido a certas condições de exploração (como a necessidade de acesso a redes internas), elas ainda são usadas em ataques reais. A ACROS já disponibilizou patches não oficiais por meio do serviço 0patch, que corrige o problema automaticamente sem a necessidade de reiniciar o sistema.
A Microsoft foi notificada e está investigando a falha, mas ainda não lançou um patch oficial. Enquanto isso, usuários e administradores de TI devem reforçar suas políticas de segurança, bloqueando a execução de arquivos SCF e restringindo o tráfego NTLM para reduzir o risco de exploração.
