A Agência de Cibersegurança e Segurança de Infraestruturas (CISA) dos EUA emitiu um alerta urgente sobre uma vulnerabilidade de alta gravidade no Windows, que já está a ser ativamente explorada por hackers. A falha, identificada como CVE-2025-33073, permite a um atacante obter privilégios de SYSTEM, o nível mais elevado de acesso num sistema, representando um risco significativo para utilizadores e empresas.
A vulnerabilidade afeta uma vasta gama de sistemas operativos da Microsoft, incluindo todas as versões do Windows Server, Windows 10 e Windows 11 até à versão 24H2. A empresa corrigiu a falha durante o Patch Tuesday de junho de 2025, revelando que se trata de uma fraqueza no controlo de acesso que possibilita a elevação de privilégios através da rede.
Como funciona o ataque
Para explorar esta falha, um atacante precisa de convencer a vítima a ligar-se a um servidor malicioso controlado por si, utilizando, por exemplo, o protocolo SMB. Uma vez estabelecida a ligação, o servidor malicioso pode comprometer o protocolo e executar um script especialmente criado para forçar a máquina da vítima a autenticar-se no sistema do atacante. Este processo resulta na obtenção de privilégios elevados, dando ao hacker controlo sobre o sistema.
Na altura do lançamento da correção, um aviso de segurança indicava que a informação sobre o bug já era publicamente acessível. No entanto, a Microsoft ainda não reconheceu publicamente as alegações da CISA de que a vulnerabilidade está a ser ativamente explorada.
Atualização é urgente para todos
A CISA adicionou a falha ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), obrigando as agências federais norte-americanas a proteger os seus sistemas até ao dia 10 de novembro. Embora a diretiva se aplique apenas a entidades governamentais dos EUA, a agência de cibersegurança incentiva vivamente todas as organizações, incluindo as do setor privado, a garantir que esta vulnerabilidade seja corrigida o mais rapidamente possível.
"Estes tipos de vulnerabilidades são vetores de ataque frequentes para atores maliciosos e representam riscos significativos", alertou a CISA. A descoberta da falha foi atribuída a múltiplos investigadores de segurança de empresas como CrowdStrike, Synacktiv, SySS GmbH, Google Project Zero e RedTeam Pentesting GmbH.
Nenhum comentário
Seja o primeiro!