Pesquisadores identificaram duas vulnerabilidades do Windows atualmente em exploração generalizada, incluindo uma falha de dia zero conhecida pelos atacantes desde 2017. A Microsoft ainda não corrigiu o dia zero, enquanto a segunda questão crítica recebeu uma correção de emergência após um patch inicial incompleto. Esses ataques visam usuários em vários países e envolvem ameaças persistentes avançadas.
A primeira vulnerabilidade, rastreada como CVE-2025-9491, é um dia zero no formato binário de Atalho do Windows que tem sido explorado desde 2017. A empresa de segurança Trend Micro a descobriu em março, notando exploração por até 11 grupos de ameaça persistente avançada (APT) em quase 60 países, com os EUA, Canadá, Rússia e Coreia mais afetados. Essas APTs, frequentemente ligadas a estados-nação, usaram a falha — inicialmente designada ZDI-CAN-25373 — para implantar vários payloads pós-exploração. Sete meses depois, a Microsoft não emitiu um patch.
Na quinta-feira, a Arctic Wolf relatou exploração pelo grupo alinhado à China UNC-6384 contra alvos em várias nações europeias. Os ataques entregam o trojan de acesso remoto PlugX, mantendo o binário criptografado no formato RC4 até o estágio final. A Arctic Wolf afirmou: “A amplitude do direcionamento em várias nações europeias dentro de um período de tempo condensado sugere uma operação de coleta de inteligência coordenada em grande escala ou implantação de múltiplas equipes operacionais paralelas com ferramentas compartilhadas, mas direcionamento independente.” A severidade da falha é avaliada em 7 de 10, e os usuários podem mitigar riscos restringindo arquivos .lnk de fontes não confiáveis via configurações do Windows Explorer.
A segunda vulnerabilidade, CVE-2025-59287, afeta os Serviços de Atualização do Servidor Windows (WSUS) e permite execução remota de código devido a uma falha de serialização. Avaliada em 9.8 de severidade e potencialmente propagável como um worm, foi abordada pela primeira vez no Patch Tuesday de outubro da Microsoft, mas se mostrou incompleta após o surgimento de código proof-of-concept público. Uma atualização não programada na semana passada forneceu uma correção adequada. A Huntress observou exploração a partir de 23 de outubro, enquanto Sophos e Eye relataram atividade a partir de 24 de outubro em múltiplos ambientes de clientes em várias indústrias. A Sophos observou: “A onda de atividade, que durou várias horas e visou servidores WSUS voltados para a internet, impactou clientes em uma gama de indústrias e não pareceu ser ataques direcionados.” Permanece incerto se os atacantes usaram o proof-of-concept público ou desenvolveram seus próprios exploits.
Administradores são instados a verificar vulnerabilidades e aplicar patches onde disponíveis, embora não haja cronograma para CVE-2025-9491.