Uma falha de segurança de dia-zero no Windows foi ativamente explorada desde março de 2025 por um grupo de ciberespionagem para atacar organizações de defesa e governamentais. A vulnerabilidade, agora corrigida pela Microsoft, permitia a execução remota de código de uma forma particularmente furtiva, dificultando a sua deteção.
A descoberta foi feita pelos investigadores da Check Point Research, que identificaram tentativas de ataque contra entidades na Turquia, Qatar, Egito e Iémen. Embora os ataques possam não ter sido bem-sucedidos, a exploração da falha foi confirmada.
Como funciona este ataque "invisível"?
A vulnerabilidade, com o código CVE-2025-33053, reside na forma como o Windows lida com o diretório de trabalho de certas ferramentas legítimas do sistema através do protocolo WebDAV. Os atacantes enviavam um email de phishing às suas vítimas, contendo um ficheiro .url disfarçado de documento PDF.
Ao ser aberto, este ficheiro acionava uma ferramenta de diagnóstico legítima do Internet Explorer (iediagcmd.exe). No entanto, o ficheiro malicioso instruía o sistema a definir o seu "diretório de trabalho" para um servidor WebDAV remoto controlado pelos hackers.
O problema é que, ao executar comandos como route.exe ou ipconfig.exe, a ferramenta de diagnóstico procurava primeiro por estes executáveis no diretório de trabalho definido (o servidor dos atacantes) antes de procurar nas pastas de sistema do Windows. Isto levava o sistema a executar uma versão maliciosa do route.exe diretamente do servidor remoto, infetando o computador sem deixar ficheiros suspeitos no disco local.
Stealth Falcon: os espiões por detrás da cortina digital
O grupo responsável por estes ataques é conhecido como "Stealth Falcon" (ou "FruityArmor"), um grupo de ameaça persistente avançada (APT) ativo desde pelo menos 2012 e com um historial de ciberespionagem focado em alvos no Médio Oriente.
O ataque instalava um loader multifásico chamado "Horus Loader", que por sua vez descarregava a carga maliciosa principal, o "Horus Agent". Este é um implante de comando e controlo (C2) personalizado, escrito em C++, que permite aos atacantes executar comandos para roubar informações do sistema, alterar configurações, injetar código e gerir ficheiros.
Os investigadores encontraram ainda ferramentas de pós-exploração, como um programa para extrair credenciais guardadas, um keylogger para registar tudo o que é teclado e um backdoor passivo para manter o acesso ao sistema infetado. Segundo a Check Point, estas novas ferramentas "Horus" representam uma evolução significativa face aos agentes "Apollo" que o grupo utilizava anteriormente, sendo agora mais modulares e evasivas.
Microsoft reage com correção: mantenha-se seguro
A Microsoft já lançou uma correção para a vulnerabilidade CVE-2025-33053 na mais recente atualização de segurança do Patch Tuesday, disponibilizada ontem, dia 10 de junho de 2025. A recomendação é clara para todas as organizações, especialmente as que operam em setores críticos: aplicar as últimas atualizações do Windows o mais rapidamente possível.
Para os sistemas que não possam ser atualizados de imediato, a sugestão passa por bloquear o tráfego WebDAV ou, em alternativa, monitorizá-lo rigorosamente para detetar quaisquer ligações suspeitas para endereços desconhecidos.
Nenhum comentário
Seja o primeiro!