Exploits e vulnerabilidades no quarto trimestre de 2025

O quarto trimestre de 2025 registrou alta atividade na publicação de vulnerabilidades críticas de grande impacto, identificadas em bibliotecas e aplicações de uso massivo. Diversas dessas falhas passaram a ser amplamente exploradas por invasores de imediato.

Neste relatório, examinamos as estatísticas de vulnerabilidades e exploits publicados, bem como as CVEs conhecidas empregadas em conjunto com frameworks de C2 amplamente adotados no quarto trimestre de 2025.

Estatísticas de vulnerabilidades registradas

Esta seção apresenta os dados de vulnerabilidades registradas. As informações foram extraídas do portal cve.org.

A seguir, analisamos o volume de CVEs publicadas por mês ao longo dos últimos cinco anos, até o encerramento de 2025. Conforme projetado em nosso relatório anterior, o quarto trimestre registrou mais vulnerabilidades que o mesmo período de 2024, e os totais anuais também superaram os resultados do ano anterior.

Total de vulnerabilidades publicadas por mês, de 2021 a 2025 (download)

A seguir, examinamos a quantidade de novas vulnerabilidades críticas (CVSS > 8,9) no mesmo intervalo.

Total de vulnerabilidades críticas publicadas por mês, de 2021 a 2025 (download)

O gráfico indica que o volume de vulnerabilidades críticas permanece elevado. Contudo, na segunda metade do ano observou-se retração para patamares similares aos de 2023. Esse comportamento decorreu da reclassificação e revogação de parte das CVEs, ou seja, parte das falhas de segurança publicadas foi posteriormente revogada. Além disso, a adoção ampla de práticas de desenvolvimento seguro e o uso de linguagens de programação com maior segurança nativa contribuíram para reduzir o número de novas vulnerabilidades críticas, ainda que não tenham resolvido o problema do volume total de falhas.

Estatísticas de exploração de vulnerabilidades

Esta seção apresenta as estatísticas de uso de exploits no quarto trimestre de 2025. Os dados foram obtidos a partir de fontes abertas e de nossa telemetria.

Exploração de vulnerabilidades em Windows e Linux

No quarto trimestre de 2025, os exploits que mais prevaleceram foram os mesmos que lideraram os ataques ao longo do ano até então. Trata-se de exploits direcionados a produtos Microsoft Office com vulnerabilidades não corrigidas.

As soluções Kaspersky detectaram o maior volume de exploits na plataforma Windows para as seguintes vulnerabilidades:

• CVE-2018-0802 — vulnerabilidade de execução remota de código no componente Equation Editor;
• CVE-2017-11882 — outra vulnerabilidade de execução remota de código, também no Equation Editor;
• CVE-2017-0199 — vulnerabilidade no Microsoft Office e no WordPad que permite ao invasor obter o controle total do sistema.

Essa lista permanece inalterada há vários anos.

Observamos também que os invasores continuam adaptando exploits para vulnerabilidades de path traversal (CWE-35) na descompactação de arquivos no WinRAR. Esses exploits são ativamente utilizados para obter acesso inicial por meio de arquivos compactados maliciosos no Windows:

• CVE-2023-38831 — vulnerabilidade decorrente do processamento inadequado de objetos contidos em um arquivo compactado;
• CVE-2025-6218 (anteriormente ZDI-CAN-27198) — vulnerabilidade que permite especificar um caminho relativo e descompactar arquivos em um diretório arbitrário. Isso pode levar à execução de comandos maliciosos. Discutimos essa vulnerabilidade com mais detalhes no relatório referente ao segundo trimestre de 2025.
• CVE-2025-8088 — vulnerabilidade analisada em nosso relatório anterior, análoga à CVE-2025-6218. Como mecanismo de bypass do controle do diretório de descompactação, os invasores utilizaram NTFS Streams.

Assim como no trimestre anterior, registramos crescimento no uso de exploits para compactadores, com predominância de vulnerabilidades recentes nos ataques.

A seguir, apresentamos a evolução das detecções de exploits em sistemas Windows nos últimos dois anos.

Evolução do número de usuários Windows afetados por exploits, Q1 2024–Q4 2025. Base 100%: usuários afetados no Q1 2024 (download)

As vulnerabilidades listadas podem ser utilizadas para obter acesso inicial a sistemas vulneráveis. Isso reforça a importância de aplicar sem demora as atualizações de segurança nos softwares correspondentes.

Em dispositivos Linux, os exploits detectados com maior frequência foram direcionados às seguintes vulnerabilidades:

• CVE-2022-0847 — vulnerabilidade conhecida como Dirty Pipe, que permite escalonamento de privilégios e sequestro de aplicações em execução;
• CVE-2019-13272 — vulnerabilidade de tratamento incorreto de herança de privilégios, explorável para escalonamento de privilégios;
• CVE-2021-22555 — vulnerabilidade de heap-based buffer overflow no subsistema Netfilter do kernel;
• CVE-2023-32233 — outra vulnerabilidade no subsistema Netfilter, que permite criar condições de Use-After-Free e elevar privilégios por meio do processamento incorreto de requisições de rede.

Evolução do número de usuários Linux afetados por exploits, Q1 2024–Q4 2025. Base 100%: usuários afetados no Q1 2024 (download)

Registramos crescimento expressivo nos ataques com exploits para Linux: no quarto trimestre, o número de usuários afetados foi o dobro do registrado no terceiro trimestre. Nossa telemetria indica que o último trimestre do ano concentrou mais da metade de todos os ataques com exploits para Linux em relação ao total anual. O principal fator desse aumento é o crescimento acelerado da base de dispositivos finais (endpoints) com Linux. Destacamos que isso naturalmente atrai a atenção dos invasores, razão pela qual a aplicação de patches de segurança é fundamental.

Exploits publicados que mais prevaleceram

A distribuição dos exploits publicados por tipo de software no quarto trimestre de 2025 segue, em grande medida, o padrão do trimestre anterior. O maior volume de exploits analisados no âmbito do monitoramento de pesquisas públicas, notícias e PoCs continua sendo direcionado a vulnerabilidades em sistemas operacionais.

Distribuição de exploits publicados por plataforma, Q1 2025 (download)

Distribuição de exploits publicados por plataforma, Q2 2025 (download)

Distribuição de exploits publicados por plataforma, Q3 2025 (download)

Distribuição de exploits publicados por plataforma, Q4 2025 (download)

No quarto trimestre de 2025, não foram identificados exploits públicos para produtos Microsoft Office; no entanto, foram descobertos problemas em componentes do sistema, que representam a maior parte das vulnerabilidades. Para fins estatísticos, esses casos foram classificados na categoria “SO”.

Uso de vulnerabilidades em ataques APT

Analisamos as vulnerabilidades exploradas em ataques APT no quarto trimestre de 2025. O ranking a seguir é baseado em nossa telemetria, pesquisas internas e fontes abertas.

TOP 10 vulnerabilidades exploradas em ataques APT, Q4 2025 (download)

No quarto trimestre de 2025, os ataques APT exploraram predominantemente vulnerabilidades recentes, publicadas nos últimos seis meses. Consideramos que essas CVEs se tornarão alvos preferenciais dos invasores por um período prolongado, uma vez que sua correção pode exigir mudanças estruturais significativas nas aplicações ou nos sistemas afetados. Com frequência, a substituição ou atualização dos componentes impactados demanda recursos consideráveis, o que prolonga a janela de exposição a ataques por meio dessas vulnerabilidades. Algumas novas vulnerabilidades provavelmente se tornarão vetores recorrentes para movimentação lateral na infraestrutura dos usuários, pois os problemas de segurança foram identificados em serviços de rede acessíveis sem autenticação. A exploração ativa de vulnerabilidades registradas recentemente evidencia a capacidade dos invasores de adotar novas técnicas e adaptar as já existentes em ataques. Por isso, recomendamos a aplicação dos patches de segurança disponibilizados pelos fornecedores.

Frameworks de C2

Nesta seção, analisamos os frameworks de C2 mais utilizados pelos invasores e as vulnerabilidades cujos exploits interagiram com agentes de C2 em ataques APT.

O gráfico a seguir apresenta a frequência de uso conhecida de frameworks de C2 em ataques a usuários no quarto trimestre de 2025, com base em fontes abertas.

TOP 10 frameworks de C2 utilizados por APTs para comprometer sistemas de usuários, Q4 2025 (download)

O Sliver mantém a liderança entre os frameworks de C2 mais utilizados, apesar do volume considerável de rastros que pode deixar quando operado em configuração padrão. Mythic e Havoc ocupam o segundo e o terceiro lugar, respectivamente. Com base na análise de fontes abertas e de amostras de agentes de C2 maliciosos contendo exploits, identificamos que os ataques APT com os frameworks de C2 mencionados exploraram as seguintes vulnerabilidades:

• CVE-2025-55182 — vulnerabilidade React2Shell nos React Server Components, que permite a um usuário não autenticado enviar comandos diretamente ao servidor e executá-los a partir da memória;
• CVE-2023-36884 — vulnerabilidade no componente Windows Search que permite executar comandos no sistema contornando os mecanismos de proteção integrados aos aplicativos Microsoft Office;
• CVE-2025-53770 — vulnerabilidade de desserialização insegura no Microsoft SharePoint, que permite executar comandos no servidor sem autenticação;
• CVE-2020-1472 — vulnerabilidade conhecida como Zerologon, que permite comprometer um domain controller vulnerável e executar comandos com privilégios elevados;
• CVE-2021-34527 — vulnerabilidade conhecida como PrintNightmare, que explora falhas no subsistema de impressão do Windows e permite acesso remoto ao sistema operacional vulnerável com execução de comandos com altos privilégios;
• CVE-2025-8088 e CVE-2025-6218 — vulnerabilidades similares de path traversal que permitem descompactar arquivos de um arquivo compactado em um caminho predefinido, sem que o compactador exiba qualquer notificação ao usuário.

O conjunto de vulnerabilidades descrito indica que os invasores as utilizaram para iniciar o ataque e realizar as ações iniciais nos sistemas comprometidos, criando as condições necessárias para a execução do agente de C2. Entre as vulnerabilidades identificadas, há tanto zero days quanto problemas de segurança já amplamente conhecidos.

Vulnerabilidades de destaque

Esta seção apresenta as vulnerabilidades mais relevantes publicadas no quarto trimestre de 2025 com descrição publicamente disponível.

React2Shell (CVE-2025-55182) — vulnerabilidade nos React Server Components

Em geral, descrevemos vulnerabilidades que afetam aplicações específicas. A CVE-2025-55182 é uma exceção, pois ela foi identificada na biblioteca React para desenvolvimento de aplicações web, o que significa que sua exploração pode potencialmente comprometer um grande número de aplicações que utilizam essa biblioteca. A vulnerabilidade reside no mecanismo de comunicação entre as camadas “cliente” e “servidor”, baseado no envio de objetos serializados. Caso um invasor envie dados serializados com funcionalidade maliciosa, poderá executar comandos em JavaScript diretamente no servidor, sem validação da requisição no lado do cliente. Detalhes técnicos sobre esta vulnerabilidade e um exemplo de detecção pelas soluções Kaspersky estão disponíveis em nosso relatório.

CVE-2025-54100 — injeção de comandos na execução do comando curl (Invoke-WebRequest)

Esta vulnerabilidade representa um problema de tratamento incorreto de dados recebidos de um servidor remoto: ao executar o comando curl ou Invoke-WebRequest, o Windows inicializa o Internet Explorer em segundo plano, o que pode resultar em um ataque de cross-site scripting (XSS).

CVE-2025-11001 — vulnerabilidade no 7-Zip

Esta vulnerabilidade reforça a tendência de exploração de problemas de segurança em compactadores. A CVE-2025-11001 consiste no tratamento incorreto de links simbólicos. Um invasor pode criar um arquivo compactado de forma que, ao ser descompactado em um diretório arbitrário, o conteúdo seja extraído para o destino apontado pelo link simbólico. A probabilidade de exploração desta vulnerabilidade é bastante reduzida, pois o usuário que abre o arquivo compactado precisa ter privilégios de administrador do sistema.

Esta vulnerabilidade gerou uma onda de notícias equivocadas sobre sua utilização em ataques reais, originada por um erro no boletim de segurança.

RediShell (CVE-2025-49844) — vulnerabilidade no Redis

O ano de 2025 foi marcado por diversas vulnerabilidades de grande repercussão com nomenclatura própria. A CVE-2025-49844, também denominada RediShell, foi divulgada durante uma competição. Trata-se de uma vulnerabilidade de Use-After-Free relacionada ao comando load em scripts do interpretador Lua. Para realizar o ataque, o invasor precisa apenas preparar um script malicioso e carregá-lo no interpretador.

Como ocorre com qualquer vulnerabilidade de nomenclatura própria, a RediShell foi explorada por invasores e spammers, porém de forma atípica. Como os dados inicialmente publicados sobre a natureza da vulnerabilidade eram incompletos, a internet foi inundada por PoCs e scanners falsos que supostamente verificavam a possibilidade de exploração. No melhor dos casos, esses “scanners” não realizavam nenhuma ação; no pior, infectavam o sistema. É relevante destacar que esses projetos foram, em sua maioria, gerados e estruturados com o auxílio de LLMs, seguindo um modelo padronizado e citando outros repositórios falsos similares como código-fonte.

CVE-2025-24990 — vulnerabilidade no driver ltmdm64.sys

Vulnerabilidades em drivers de aplicações legítimas de terceiros, incluídas na distribuição e incluídos nativamente no sistema operacional, são publicadas com frequência, especialmente quando desenvolvidas há muito tempo. A CVE-2025-24990 existia na distribuição Microsoft por praticamente toda a história do Windows. O driver vulnerável foi incluído no sistema operacional desde pelo menos o Windows 7 como driver de terceiros para o Agere Modem. Segundo a própria Microsoft, o driver não é mais suportado e foi simplesmente removido da distribuição após a identificação da vulnerabilidade.

A vulnerabilidade em si é relativamente simples: tratamento inseguro de códigos IOCTL seguido de desreferenciamento de ponteiro nulo (Null Pointer Dereference). As consequências da exploração podem incluir a execução de comandos maliciosos ou, em sistemas modernos, causar a “tela azul da morte” (BSOD).

CVE-2025-59287 — vulnerabilidade nos serviços WSUS do Microsoft Windows

A CVE-2025-59287 representa o caso mais simples de desserialização insegura. A exploração é possível sem autenticação e, devido à facilidade de uso, a vulnerabilidade ganhou popularidade entre os invasores. Os detalhes técnicos e os métodos de detecção com nossos produtos já foram abordados anteriormente.

Conclusões e recomendações

No quarto trimestre de 2025, as tendências de registro de vulnerabilidades mantêm seu ritmo, o que faz com que o monitoramento contínuo e a aplicação sem demora de patches sejam ações cada vez mais essenciais. Para garantir uma proteção consistente, é fundamental avaliar e remediar as vulnerabilidades conhecidas, além de implementar tecnologias capazes de mitigar as consequências de uma eventual exploração.

O monitoramento contínuo do estado da infraestrutura, incluindo o perímetro, permite identificar ameaças com agilidade e impedir seu desenvolvimento. Uma proteção eficaz também pressupõe o acompanhamento das ameaças atuais e a adoção de medidas proativas para minimizar os riscos associados a falhas nos sistemas. A solução Kaspersky Next atua como parceira confiável neste processo, proporcionando identificação ágil e detalhamento de vulnerabilidades na infraestrutura.

A proteção dos endpoints permanece como prioridade: a segurança dos dispositivos corporativos exige a implementação de soluções capazes de bloquear malware e impedir sua propagação. Além das medidas básicas, as organizações devem implementar sistemas adaptativos que permitam a aplicação ágil de atualizações de segurança e a automação do gerenciamento de patches.