Você já imaginou uma falha de segurança considerada de baixo risco se tornando uma ameaça real em apenas oito dias? Isso aconteceu recentemente, e o alvo foram governos e empresas!
Vamos desvendar um caso de vulnerabilidade na segurança do Windows que chamou a atenção dos especialistas. Prepare-se para entender como um erro aparentemente pequeno pode causar grandes danos.
Uma Falha no Windows e sua Rápida Exploração
Em março, a Microsoft lançou suas atualizações de segurança mensais, incluindo a correção para a vulnerabilidade CVE-2025-24054. Inicialmente classificada como de baixa probabilidade de exploração, essa falha no protocolo NTLM permitia o vazamento de senhas criptografadas (hashes).
Surpreendentemente, em apenas oito dias, cibercriminosos já estavam usando essa vulnerabilidade para atacar alvos na Polônia e na Romênia. Pesquisadores da Check Point descobriram que malwares estavam explorando essa falha para roubar informações sensíveis.
Como a Vulnerabilidade Funcionava
A vulnerabilidade permitia o vazamento de hashes Net-NTLMv2 ou NTLMv2-SSP. Com esses hashes, os atacantes poderiam tentar quebrar as senhas ou realizar ataques de retransmissão, se passando pelos usuários e acessando seus sistemas.
A forma de ataque inicial envolvia e-mails phishing com anexos maliciosos. Ao abrir o arquivo compactado (xd.zip), a vítima acionava a exploração. Simplesmente visualizar a pasta no Windows Explorer já era suficiente para a liberação da senha criptografada.
A Expansão dos Ataques
Inicialmente, os ataques usavam arquivos compactados em Dropbox. No entanto, rapidamente evoluíram para envio direto de arquivos .library-ms por e-mail. A interação mínima do usuário, algo tão simples quanto clicar no arquivo, bastava para que a exploração ocorresse.
Em poucos dias, a campanha se internacionalizou, com cerca de 10 campanhas distintas observadas até o dia 25 de março. As credenciais roubadas eram enviadas para servidores controlados pelos atacantes em vários países.
Um endereço IP específico (159.196.128[.]120), associado a um grupo de hackers conhecido como APT28 (Fancy Bear), foi identificado como receptor de alguns dos dados roubados.
A Importância da Atualização de Segurança
Esse incidente destaca a importância vital de aplicar as atualizações de segurança imediatamente. A facilidade com que a vulnerabilidade foi explorada e a consequente possibilidade de ataques “pass-the-hash” fazem dela uma ameaça considerável.
A velocidade com que os criminosos adaptaram e exploraram essa vulnerabilidade mostra a constante necessidade de vigilância e atualização.
A facilidade de explotação e o baixo nível de interação necessária fazem com que a atualização seja essencial para a proteção dos seus dados e sistemas. Não espere até ser tarde. Mantenha seu sistema atualizado!
Deixe seu comentário abaixo compartilhando suas experiências e práticas de segurança!
Fonte: Theregister
