A ExpressVPN lançou uma nova atualização para a sua aplicação no Windows, destinada a corrigir uma vulnerabilidade que poderia deixar o tráfego do ambiente de trabalho remoto desprotegido. Se é utilizador da ExpressVPN em sistemas Windows, é recomendado que instale a versão 12.101.0.45 o mais rapidamente possível, especialmente se utiliza o Protocolo de Ambiente de Trabalho Remoto (RDP) ou qualquer outro serviço na porta TCP 3389.
Uma falha exposta por um investigador independente
Tanto a descoberta da vulnerabilidade como a sua correção foram anunciadas pela ExpressVPN num artigo publicado no seu blog oficial no início desta semana. Segundo a publicação, um investigador de segurança independente, conhecido como Adam-X, reportou a falha a 25 de abril, no âmbito do programa de recompensas por descoberta de bugs da empresa.
Adam-X descobriu que algum código de depuração interno, que deixava o tráfego na porta TCP 3389 sem proteção, foi inadvertidamente incluído na versão distribuída aos clientes. A ExpressVPN agiu rapidamente e, cerca de cinco dias depois, lançou o patch de correção na versão 12.101.0.45 para Windows.
Risco de exploração era baixo
Apesar da gravidade que uma falha de segurança numa VPN pode representar, a ExpressVPN salienta que a probabilidade de esta vulnerabilidade ter sido explorada era muito reduzida. Um potencial atacante não só precisaria de ter conhecimento da falha, como também teria de conseguir que o seu alvo enviasse um pedido web através de RDP ou outro serviço na porta 3389.
Mesmo que todos estes fatores se alinhassem, o máximo que o atacante conseguiria obter seria o endereço IP real do utilizador, sem nunca ter acesso aos dados transmitidos.
Uma resposta proativa e transparente
Ainda que o perigo fosse mínimo, a resposta da ExpressVPN demonstra uma atitude proativa na proteção dos seus utilizadores. A existência de programas de bug bounty é um bom indicador, mas a rapidez na resolução e a transparência na comunicação são igualmente importantes.
Para além de corrigir esta falha específica, a empresa anunciou que irá adicionar testes automatizados para verificar se código de depuração é acidentalmente deixado em versões de produção. Este passo, juntamente com uma auditoria de privacidade independente bem-sucedida no início de 2025, reforça a imagem de um fornecedor que está atento à segurança e privacidade dos seus clientes.
Nenhum comentário
Seja o primeiro!