Duas vulnerabilidades do Windows estão atualmente a ser exploradas em larga escala por cibercriminosos, incluindo uma falha de dia zero que, segundo especialistas, são usadas por grupos de hackers há mais de sete anos.
A primeira vulnerabilidade, identificada como CVE-2025-9491, afeta o formato binário de atalhos (.lnk) do sistema e tem sido explorada desde 2017 por até 11 grupos de ameaças persistentes avançadas (APT), muitos deles associados a Estados-nação. De acordo com a empresa de cibersegurança Trend Micro, o ataque já atingiu infraestruturas em quase 60 países, com os EUA, Canadá, Rússia e Coreia do Sul entre os mais afetados.
Apesar de meses de alertas, a Microsoft ainda não corrigiu a falha. Como avança o Ars Technica, a empresa de segurança Arctic Wolf identificou recentemente novas campanhas a explorar o bug, desta vez conduzidas por um grupo alinhado com a China, conhecido como UNC-6384. A exploração termina com a instalação do PlugX, um trojan de acesso remoto capaz de permanecer oculto nos sistemas infetados.
Os investigadores alertam que a amplitude e a rapidez das ofensivas em diversos países europeus indicam uma operação coordenada de espionagem digital, possivelmente envolvendo várias equipas a atuar em paralelo com ferramentas comuns.
Enquanto uma correção oficial não é disponibilizada, os especialistas recomendam bloquear ou restringir o uso de ficheiros .lnk provenientes de fontes desconhecidas e desativar a resolução automática desses atalhos no Windows Explorer.
A segunda vulnerabilidade, CVE-2025-59287, afeta o Windows Server Update Services (WSUS), sistema usado para gerir atualizações em grandes redes corporativas. Classificada com gravidade 9,8 de 10, a falha permite execução remota de código e pode ser explorada por worms, um tipo de malware capaz de se replicar automaticamente.
Embora a Microsoft tenha lançado uma correção emergencial na semana passada, empresas como a Huntress, Eye Security e Sophos confirmam que a vulnerabilidade continua a ser explorada ativamente desde 23 de outubro, incluindo ambientes corporativos.
Recomendações da Microsoft
Em resposta à Forbes, a Microsoft indicou que o Microsoft Defender já possui mecanismos para detetar e bloquear estes tipos de ameaças, enquanto o Smart App Control fornece uma camada adicional de proteção, bloqueando ficheiros maliciosos que vieram da internet.
“Agradecemos o trabalho da comunidade de investigação em partilhar as suas descobertas. O Microsoft Defender possui mecanismos de deteção para identificar e bloquear esta atividade de ameaça, e o Smart App Control oferece uma camada adicional de proteção. Como prática recomendada, incentivamos fortemente os clientes a prestarem atenção aos avisos de segurança e a evitarem abrir ficheiros de fontes desconhecidas”
- Microsoft.
