Menu de conteúdo Fechar

Vulnerability reports

Exploits e vulnerabilidades no terceiro trimestre de 2025

Vulnerability reports

minutos de leitura

Sumário

  • Conclusões e recomendações

    • Autores

    No terceiro trimestre de 2025, os invasores persistiram na exploração de falhas no WinRAR, enquanto o total de vulnerabilidades reportadas voltou a crescer. Neste relatório, examinamos as estatísticas divulgadas de vulnerabilidades e exploits, os problemas de segurança mais comuns em Windows e Linux e as vulnerabilidades exploradas em ataques APT que levaram à implantação de frameworks de C2 amplamente utilizados. Os dados são provenientes de informações anonimizadas da Kaspersky Security Network, fornecidas voluntariamente por usuários, e de fontes abertas.

    Estatísticas: vulnerabilidades registradas

    Esta seção apresenta estatísticas das vulnerabilidades registradas. Os dados foram obtidos no portal cve.org.

    A seguir, o número de CVEs registradas por mês nos últimos cinco anos (até o fim do terceiro trimestre de 2025):

    Número total de vulnerabilidades publicadas por mês, 2021–2025 (download)

    O gráfico mostra que o volume mensal de vulnerabilidades divulgadas no terceiro trimestre de 2025 continua superior aos níveis de anos anteriores. No terceiro trimestre, foram publicadas mais de 1.000 vulnerabilidades adicionais em comparação com o mesmo período de 2024. O final do trimestre sinaliza uma tendência de alta no número de CVEs reportadas, e o previsto é que esse crescimento se mantenha no quarto trimestre. Contudo, é provável que, no fechamento do ano, o total de vulnerabilidades divulgadas apresente uma redução em relação ao valor registrado em setembro.

    Quando analisamos a distribuição mensal das vulnerabilidades classificadas como críticas (CVSS > 8,9) no momento do registro, observamos que o valor do terceiro trimestre de 2025 foi ligeiramente inferior ao de 2024.

    Número total de vulnerabilidades críticas publicadas por mês, 2021–2025 (download)

    Estatísticas sobre a exploração de vulnerabilidades

    Esta seção apresenta estatísticas de uso de exploits no terceiro trimestre de 2025. Os dados correspondentes foram obtidos de fontes públicas e de nossa telemetria.

    Exploração de vulnerabilidades em Windows e Linux

    No terceiro trimestre de 2025, os exploits mais comuns continuaram sendo aqueles direcionados a produtos vulneráveis do Microsoft Office.

    Na plataforma Windows, as soluções da Kaspersky detectaram o maior volume de exploits para as seguintes vulnerabilidades:

    • CVE-2018-0802: vulnerabilidade de execução remota de código no componente Editor de Equações.
    • CVE-2017-11882: outra vulnerabilidade de execução remota de código que também afeta o Editor de Equações.
    • CVE-2017-0199: vulnerabilidade no Microsoft Office e no WordPad que permite ao invasor assumir o controle do sistema.

    Essas vulnerabilidades seguem sendo as mais exploradas, superando outras em frequência, como já alertamos em relatórios passados. No terceiro trimestre, também observamos que cibercriminosos exploraram vulnerabilidades do tipo Directory Traversal durante a extração de arquivos no WinRAR.

    Embora os exploits inicialmente divulgados para essas falhas não representassem uma ameaça real, os invasores adaptaram esses exploits para uso malicioso:

    • CVE-2023-38831: vulnerabilidade no WinRAR decorrente do tratamento incorreto de objetos presentes no arquivo compactado. Analisamos essa falha em detalhe no relatório do ano passado.
    • CVE-2025-6218 (ZDI-CAN-27198): vulnerabilidade que permite especificar um caminho relativo e extrair arquivos em um diretório arbitrário. Cibercriminosos podem extrair conteúdo para o diretório de aplicativos do sistema ou para o diretório de inicialização automática, executando código malicioso. Um detalhamento adicional foi apresentado no relatório do segundo trimestre.
    • CVE-2025-8088: vulnerabilidade zero day semelhante à CVE-2025-6128, que foi detectada durante a análise de ataques APT. Os invasores utilizaram NTFS Streams como mecanismo para contornar o controle do diretório de extração. Esta vulnerabilidade será analisada em mais detalhe adiante.

    É notável que as vulnerabilidades de 2025 já competem em termos de popularidade com a falha divulgada em 2023.

    Todas as CVEs mencionadas podem ser empregadas para obter acesso inicial a sistemas vulneráveis. Recomendamos fazer as atualizações de segurança para os softwares afetados o mais rápido possível.

    Evolução do número de usuários de Windows expostos a exploits, T1 2023–T3 2025. O 100% representa o número de usuários expostos a exploits no primeiro trimestre de 2023 (download)

    De acordo com nossa telemetria, o número de usuários do Windows que encontraram exploits no terceiro trimestre aumentou em relação ao período anterior. Ainda assim, o número ficou abaixo do observado no terceiro trimestre de 2024.

    Em dispositivos Linux, detectamos com maior frequência exploits para as seguintes vulnerabilidades do kernel do sistema operacional:

    • CVE-2022-0847: vulnerabilidade conhecida como Dirty Pipe, que permite escalonamento de privilégios e interceptação do controle de aplicativos em execução;
    • CVE-2019-13272: falha no manuseio de privilégios herdados, explorável para escalonamento de privilégios.
    • CVE-2021-22555: vulnerabilidade de heap overflow no subsistema de kernel Netfilter. A ampla disseminação decorre do uso de metodologias populares de modificação de memória, com manipulações dos primitivos msg_msg que levam a condições de Use-After-Free.

    Evolução do número de usuários de Linux expostos a exploits, T1 2023–T3 2025. O 100% representa o número de usuários expostos a exploits no primeiro trimestre de 2023 (download)

    Se observarmos o número de usuários que enfrentaram exploits, vemos que ele continua crescendo e, no terceiro trimestre de 2025, já é mais de seis vezes superior ao do primeiro trimestre de 2023.

    Isso confirma mais uma vez que é crucial manter os patches de segurança atualizados no Linux, pois os invasores o escolhem cada vez mais a cada ano que passa. Em grande parte, isso se deve ao aumento contínuo no número de dispositivos baseados nesse sistema.

    Exploits publicados mais difundidos

    No terceiro trimestre de 2025, os exploits para vulnerabilidades do sistema operacional continuaram prevalecendo sobre os de outros tipos de software que acompanhamos em pesquisas públicas, notícias e monitoramento de PoCs. Observou-se, no entanto, um aumento significativo na proporção de ataques a navegadores, que atingiu níveis comparáveis aos de outros softwares não pertencentes ao sistema operacional.

    Distribuição dos exploits publicados por plataforma, T1 de 2025 (download)

    Distribuição dos exploits publicados por plataforma, T2 de 2025 (download)

    Distribuição dos exploits publicados por plataforma, T3 de 2025 (download)

    Vale ressaltar que, assim como no segundo trimestre, nenhum novo exploit foi divulgado no terceiro trimestre para produtos do Microsoft Office. Contudo, foram publicados exploits para vulnerabilidades do Microsoft SharePoint. Como essas falhas também impactam componentes do sistema operacional, foram classificadas como vulnerabilidades do sistema operacional.

    Uso de vulnerabilidades em ataques APT

    Realizamos uma análise das vulnerabilidades exploradas por grupos APT no terceiro trimestre de 2025. As classificações a seguir incluem dados de nossa telemetria, pesquisa e fontes públicas.

    Top 10 vulnerabilidades exploradas em ataques APT, terceiro trimestre de 2025 (download)

    No período analisado, os ataques APT foram dominados por vulnerabilidades zero day reveladas durante investigações de incidentes isolados. Após sua divulgação, desencadeou-se uma onda massiva de exploração. A análise dos softwares que contêm essas falhas sugere a formação de um novo “toolkit padrão” para acesso inicial à infraestrutura e execução de código, tanto em dispositivos periféricos quanto dentro dos sistemas operacionais. Além disso, vulnerabilidades “antigas”, como a CVE-2017-11882, ainda são aproveitadas devido à sua flexibilidade, pois permitem o uso de múltiplos formatos de dados e ofuscação do exploit para burlar mecanismos de detecção. Por outro lado, a maioria das novas falhas exige formatos de entrada específicos, o que facilita a detecção dos exploits e permite um monitoramento mais preciso de seu uso em ambientes protegidos. Ainda assim, o risco de exploração é elevado, e recomendamos aplicar imediatamente os patches já disponibilizados pelos fornecedores.

    Frameworks de C2

    Nesta seção, analisamos os frameworks de C2 mais populares utilizados por invasores e as vulnerabilidades/exploits que interagiram com agentes C2 em ataques APT.

    A figura a seguir apresenta a frequência de casos documentados de uso de frameworks de C2 em ataques lançados no terceiro trimestre de 2025, conforme fontes abertas.

    Top 10 frameworks de C2 utilizados por grupos APT para comprometer sistemas de usuários, terceiro trimestre de 2025 (download)

    No ranking de frameworks de C2 mais usados no trimestre, o Metasploit liderou com um aumento de participação em relação ao anterior, seguido de perto por Sliver e Mythic. O Empire, ausente no período anterior, retornou à lista. Merece destaque também o Adaptix C2, recém-lançado, mas já empregado quase imediatamente em ataques reais. As fontes analisadas e as amostras de agentes C2 maliciosos indicaram o uso das seguintes vulnerabilidades para lançá-los e inseri-los posteriormente na rede da vítima:

    • CVE-2020-1472 (ZeroLogon): permite comprometer um sistema operacional vulnerável e executar comandos com privilégios.
    • CVE-2021-34527: vulnerabilidade conhecida como PrintNightmare, que explora falhas no subsistema de impressão do sistema operativo Windows. Além disso, possibilita acesso remoto e execução de comandos com privilégios elevados.
    • CVE-2025-6218 ou CVE-2025-8088: vulnerabilidades semelhantes de Directory Traversal que permitem extrair arquivos em um caminho predefinido sem que o arquivador exiba mensagens ao usuário. A primeira foi descoberta por pesquisadores e, posteriormente, adotada por cibercriminosos. A segunda é uma vulnerabilidade zero day.

    Vulnerabilidades de destaque

    Esta seção apresenta as vulnerabilidades mais relevantes publicadas no terceiro trimestre de 2025 e cuja descrição foi disponibilizada ao público.

    ToolShell (CVE-2025-49704 e CVE-2025-49706, CVE-2025-53770 e CVE-2025-53771): desserialização insegura e bypass no mecanismo de autenticação.

    ToolShell é um conjunto de vulnerabilidades no Microsoft SharePoint que permite contornar a autenticação e assumir o controle total do servidor.

    • CVE-2025-49704: afeta a desserialização insegura de dados não confiáveis, permitindo a execução de código malicioso em um servidor vulnerável.
    • CVE-2025-49706: possibilita acessar o servidor contornando a autenticação.
    • CVE-2025-53770: permite contornar o patch da CVE-2025-49704.
    • CVE-2025-53771: permite contornar o patch da CVE-2025-49706.

    Essas vulnerabilidades estão entre os pacotes favoritos dos invasores, pois permitem comprometer servidores SharePoint acessíveis na rede com apenas algumas requisições HTTP. Todas foram corrigidas em julho, reforçando a importância crítica da aplicação de patches o mais rápido possível. Uma análise detalhada do ToolShell está disponível em nosso blog.

    CVE-2025-8088: vulnerabilidade de catálogo no WinRAR.

    A CVE-2025-8088 é muito semelhante à CVE-2025-6218, analisada em nosso relatório anterior. Em ambos os casos, os invasores empregam caminhos relativos para forçar o WinRAR a extrair conteúdo para diretórios do sistema. A diferença é que o cibercriminoso explora o mecanismo de Alternate Data Streams (ADS) e pode utilizar variáveis de ambiente no caminho de extração.

    CVE-2025-41244: escalonamento de privilégios no VMware Aria Operations e VMware Tools.

    Detalhes sobre essa vulnerabilidade foram apresentados por pesquisadores que afirmam tê-la observado sendo explorada em ataques reais durante 2024.

    A falha permite que um invasor substitua o comando utilizado para iniciar o componente Service Discovery do console VMware Aria ou do conjunto de utilitários VMware Tools. Como resultado, um usuário sem privilégios pode obter privilégios irrestritos em uma máquina virtual. A vulnerabilidade reside em uma expressão regular mal escrita no script get-versions.sh do componente Service Discovery, que é responsável por identificar a versão do serviço e é acionado sempre que um novo comando é passado.

    Conclusões e recomendações

    No terceiro trimestre de 2025, o número de vulnerabilidades notificadas continuou crescendo, e algumas delas são exploradas quase que imediatamente pelos invasores. É provável que essa tendência persista.

    Os exploits mais comuns para Windows são empregados na fase de acesso inicial. É também nesse estágio que grupos APT exploram novas vulnerabilidades. Para impedir o acesso de invasores à infraestrutura, as organizações devem realizar auditorias regulares em busca de vulnerabilidades e aplicar patches o mais rápido possível. Essas medidas podem ser simplificadas e automatizadas com o Kaspersky Systems Management. Além disso, o Kaspersky Symphony oferece proteção abrangente e flexível contra ciberataques de qualquer nível de complexidade.

    Autores

    Exploits e vulnerabilidades no terceiro trimestre de 2025

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

     

    Sumário

  • Conclusões e recomendações

    • Na mesma categoria

    • Últimas Publicações
    Relatórios

    Maverick: Novo Trojan bancário distribuído via WhatsApp

    Uma campanha recente de malware foi detectada no Brasil, distribuindo um arquivo LNK malicioso usando o WhatsApp. Toda a cadeia de infecção é complexa e fileless, e ela entregará um novo trojan bancário chamado “Maverick”, que contém muito código compartilhado de Coyote.

    Categorias de ameaças

    Categorias de ameaças

    Categorias

    Categorias

    Outras secções

    © 2025 AO Kaspersky Lab.
    Todos os direitos reservados.