Windows 11, VMware e Firefox apresentam vulnerabilidades graves

Berlim, Alemanha — InkDesign News — O evento Pwn2Own Berlin 2025, realizado na conferência OffensiveCon, alcançou marcos significativos em segurança cibernética. Durante os primeiros dias, vulnerabilidades zero-day renderam prêmios de $695.000, com a expectativa de ultrapassar $1.000.000 ao final da competição.

Incidente e vulnerabilidade

O evento iniciou em 15 de maio, revelando 39 vulnerabilidades únicas. Destaque para a demonstração de Chen Le Qi, da STAR Labs SG, que explorou uma combinação de uso após liberação (use-after-free) e overflow inteiro no Windows 11, obtendo $30.000. Este exploit evidencia a crescente complexidade das técnicas de elevação de privilégio.

O exploit realizado no Windows 11 é um exemplo de como combinações de falhas podem ser aproveitadas para escalar privilégios.
(“The exploit performed on Windows 11 is an example of how combinations of flaws can be exploited to escalate privileges.”)

— Especialista em Segurança, STAR Labs SG

Impacto e resposta

O impacto desse tipo de vulnerabilidade pode ser severo, permitindo acesso não autorizado a sistemas críticos. Pesquisadores também relataram exploits em plataformas como Red Hat Linux e Docker Desktop, resultando em significativas recompensas financeiras. No segundo dia, 20 novas vulnerabilidades foram descobertas, totalizando $435.000 em premiações. Uma falha notável ocorreu no Microsoft SharePoint, onde uma combinação de bypass de autenticação e deserialização insegura resultou em um ataque com impacto em dados sensíveis.

Mitigações recomendadas

Para mitigar essas vulnerabilidades, é essencial aplicar patches disponibilizados pelas organizações afetadas. Sistemas devem ser atualizados continuamente, e práticas robustas de autenticação devem ser implementadas para prevenir ataques de deserialização. Recomenda-se também a adoção de ferramentas de monitoramento para detectar comportamentos anômalos.

É vital que as organizações entendam as vulnerabilidades emergentes e mantenham protocolos de segurança atualizados.
(“It is vital for organizations to understand emerging vulnerabilities and maintain updated security protocols.”)

— Analista de Segurança, Viettel Cyber Security

Concluindo, os riscos residuais permanecem, especialmente em tecnologias emergentes, o que ressalta a importância de uma defesa proativa e vigilantemente atualizada. Com o aumento da complexidade dos ataques, os próximos passos devem incluir treinamento contínuo e auditorias regulares na infraestrutura.

Fonte: (Hack Read – Segurança Cibernética)