A ExpressVPN, um dos serviços de VPN mais populares a nível mundial, anunciou a correção de uma vulnerabilidade significativa no seu cliente para Windows. A falha permitia que o tráfego do Protocolo de Ambiente de Trabalho Remoto (RDP) contornasse o túnel da VPN, expondo os endereços IP reais dos utilizadores e comprometendo uma das principais promessas de anonimato do serviço.
A vulnerabilidade que contornava o túnel VPN
O propósito fundamental de uma VPN é mascarar o endereço IP do utilizador, garantindo a sua privacidade e anonimato online. Esta falha representava uma quebra severa nessa promessa. Especificamente, o tráfego na porta TCP 3389, utilizada pelo RDP da Microsoft para controlar sistemas Windows remotamente, não era encaminhado através do túnel encriptado da ExpressVPN.
Como resultado, um observador externo, como um fornecedor de internet (ISP) ou qualquer pessoa na mesma rede local, poderia não só ver que o utilizador estava ligado à ExpressVPN, mas também identificar os servidores remotos específicos aos quais se estava a ligar via RDP. Embora a encriptação do restante tráfego não tenha sido afetada, esta fuga de informação é considerada grave no setor da privacidade digital.
Causa, descoberta e versões afetadas
A vulnerabilidade foi reportada a 25 de abril de 2025, através do programa de recompensas por bugs da empresa, por um investigador de segurança conhecido como "Adam-X". Após investigação, a equipa da ExpressVPN descobriu que a causa do problema residia em código de depuração (debug) que foi incluído por engano nas versões de produção do software.
Este código residual esteve presente nas versões do cliente Windows desde a 12.97 (lançada há quatro meses) até à 12.101.0.2-beta, afetando um leque considerável de atualizações.
A resposta da ExpressVPN e a solução
A empresa agiu rapidamente para corrigir o problema, lançando a versão 12.101.0.45 do seu cliente para Windows a 18 de junho de 2025, que resolve completamente a vulnerabilidade. No seu anúncio oficial, a ExpressVPN minimizou o risco prático para a maioria da sua base de clientes.
A empresa argumenta que o RDP é um protocolo maioritariamente utilizado por administradores de TI e em ambientes empresariais, e não pelo consumidor típico. "Dado que a base de utilizadores da ExpressVPN é composta predominantemente por utilizadores individuais em vez de clientes empresariais, o número de utilizadores afetados é provavelmente pequeno", pode ler-se no comunicado.
Apesar desta avaliação de baixo risco, a recomendação é clara: todos os utilizadores da versão para Windows devem atualizar o seu cliente para a versão mais recente para garantir a máxima proteção. A ExpressVPN afirmou ainda que irá reforçar as suas verificações internas de compilação para evitar que erros semelhantes cheguem à produção no futuro.
Não é a primeira vez
Este incidente recorda outro problema de segurança enfrentado pela ExpressVPN no ano passado, quando uma falha no cliente para Windows causava fugas de pedidos de DNS sempre que a funcionalidade de "split tunneling" estava ativa. Na altura, a funcionalidade foi temporariamente desativada até que uma correção fosse implementada.
Nenhum comentário
Seja o primeiro!