Categorias
Windows

Falha de dia zero do Windows explorada por hackers desde 2017

Uma falha de segurança não corrigida no Windows tem sido explorada por grupos patrocinados por estados desde 2017. A vulnerabilidade permite a execução de comandos ocultos via arquivos .LNK, afetando governos, empresas e instituições financeiras em diversos países.

Imagem de logomarca do Windows com fundo vermelho

Uma vulnerabilidade crítica no Microsoft Windows, sem correção disponível, tem sido explorada por pelo menos 11 grupos hackers patrocinados por estados, incluindo China, Irã, Coreia do Norte e Rússia. A falha, identificada como ZDI-CAN-25373 pela Zero Day Initiative (ZDI) da Trend Micro, está em uso desde 2017 para campanhas de espionagem e roubo de dados.

Vulnerabilidade de dia zero do Windows permite exploração de hackers desde 2017

Microsoft trabalha no suporte Hyper-V Dom0 para Linux

Como funciona a falha?

A brecha de segurança está relacionada a arquivos de atalho do Windows (.LNK), permitindo que agentes mal-intencionados executem comandos ocultos na máquina da vítima. Os hackers utilizam argumentos disfarçados na linha de comando dentro desses arquivos para instalar malware sem detecção, tornando a exploração altamente eficaz.

De acordo com os especialistas em segurança Peter Girnus e Aliakbar Zahravi, os ataques aproveitam caracteres especiais, como avanço de linha (\x0A) e retorno de carro (\x0D), para contornar sistemas de monitoramento. Isso complica a detecção das ameaças e aumenta os riscos para as vítimas.

Quem são os principais exploradores da falha?

Foram identificados cerca de 1.000 artefatos de arquivos .LNK explorando a vulnerabilidade, ligados a grupos como:

  • Evil Corp (Water Asena)
  • Kimsuky (Earth Kumiho)
  • Konni (Earth Imp)
  • Bitter (Earth Anansi)
  • ScarCruft (Earth Manticore)

Dentre os 11 grupos de ameaças identificados, quase metade tem origem na Coreia do Norte. Além disso, há indícios de colaboração entre diferentes grupos hackers, especialmente no aparato cibernético de Pyongyang.

Principais alvos

A exploração dessa vulnerabilidade tem afetado organizações em diversos setores e países. Entre os alvos principais estão:

  • Governos e entidades privadas
  • Instituições financeiras
  • Think tanks
  • Provedores de telecomunicações
  • Agências militares e de defesa

Os ataques foram identificados nos Estados Unidos, Canadá, Rússia, Coreia do Sul, Vietnã e Brasil, demonstrando o alcance global da ameaça.

Malware distribuído e impactos

Os arquivos .LNK maliciosos têm sido utilizados como vetor de entrega para diversas famílias de malware, incluindo:

  • Lumma Stealer – Malware especializado em roubo de credenciais
  • GuLoader – Ferramenta usada para carregar payloads adicionais
  • Remcos RAT – Trojan de acesso remoto para controle da máquina da vítima

Notavelmente, o grupo Evil Corp tem utilizado essa vulnerabilidade para distribuir o malware Raspberry Robin, ampliando ainda mais a escala dos ataques.

Microsoft não lançará correção

Apesar da gravidade da falha, a Microsoft classificou o problema como de baixa severidade e não pretende lançar um patch para corrigir a vulnerabilidade. Segundo a empresa, o ZDI-CAN-25373 é um exemplo de “Representação de IU enganosa de informações críticas” (CWE-451), indicando que a interface do usuário não exibe informações essenciais sobre os comandos sendo executados.

Sem uma atualização oficial para corrigir o problema, especialistas em segurança recomendam medidas alternativas de proteção, como evitar a abertura de arquivos .LNK de fontes desconhecidas, reforçar monitoramento de atividades suspeitas e utilizar soluções de segurança avançadas para detectar possíveis explorações dessa vulnerabilidade.

Por Jardeson Márcio

Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias.
Acredita que seu dia pode ser salvo por um vídeo engraçado.

Sair da versão mobile