A Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA (CISA) pôs em alerta as agências governamentais por uma vulnerabilidade crítica no Windows que, se não for remedia, permite a um atacante local escalar privilégios até o nível SYSTEM e tomar o controle da equipe. O erro, registrado como CVE-2025-60710, afeta componentes centrais do sistema operacional e foi corrigido pela Microsoft em novembro de 2025, mas CISA adverte que o risco exige uma resposta rápida.
O problema reside no processo conhecido como Task Host, um componente interno do Windows que atua como contentor para processos baseados no DLL. Sua função é permitir que esses DLLs sejam executados em segundo plano e garantir que fechem corretamente ao desligar o sistema, evitando assim corrupção de dados. A vulnerabilidade está relacionada com uma fraqueza de tipo “link following”, isto é, com a resolução de ligações simbólicas ou redesireções antes de acessar um arquivo, o que pode ser aproveitado por um usuário com permissões básicas para forçar o sistema abrir ou modificar recursos que não deveria.
A Microsoft descreve que a origem do erro está na resolução de links antes da leitura ou abertura de arquivos por parte do processo anfitrião de tarefas. Essa condição permite a uma conta não privilegiada executar um ataque de baixa complexidade e, no pior dos casos, elevar seus privilégios até realizar ações com permissões de sistema. Para mais detalhes técnicos sobre este tipo de fraqueza, convém rever a classificação CWE correspondente: CWE-59 (link following).
Na segunda-feira, CISA acrescentou esta CVE ao seu Lista de vulnerabilidades ativamente exploradas e, em aplicação da Directiva Operativa Vinculante BOD 22-01 de novembro de 2021, fixou um prazo de duas semanas para que as agências federais civis assegurem seus ambientes. A inclusão no catálogo de CISA envolve geralmente essa obrigação de remediação acelerada; pode ser consultada a própria lista pública no catálogo de vulnerabilidades exploradas.
Nem a CISA nem a Microsoft publicaram até agora detalhes de ataques concretos ligados a esta falha: a agência norte-americana não divulgou indicadores de compromisso e a Microsoft ainda não atualizaçãou seu aviso público para confirmar a exploração ativa na natureza. Ainda assim, a advertência é clara: este tipo de vetores —falos em resolução de links que permitem rebanar a cadeia de privilégios — é habitual nas campanhas maliciosas e representa um risco elevado para ambientes federais e corporativos.
A recomendação oficial é contundente: aplicar as correcções fornecidas pelo fabricante e, quando adequado, implementar as mitigações indicadas. A CISA também remete para as instruções do BOD 22-01 quando a carga vulnerável está em serviços na nuvem, e lembra que, se não houver mitigações práticas, deve considerar-se a interrupção do uso do produto em causa até que esteja seguro. A Directiva BOD 22-01 pode ser encontrada na Internet da agência: BOD 22-01.
Este aviso chega em um contexto de várias ações recentes da CISA e da Microsoft: a agência exigiu reparações urgentes para outras vulnerabilidades exploradas ativamente em produtos de terceiros, e a Microsoft lançou suas atualizações mensais que em abril de 2026 incluíram correções para mais de uma centena de falhas, incluindo alguns de gravidade crítica. O guia de atualizações da Microsoft e os avisos de segurança do fabricante são fontes imprescindíveis para planejar a resposta: MSRC – CVE-2025-60710.
Se você gerir equipamentos ou infra-estruturas, a acção prioritária deve ser verificada em todos os sistemas Windows 11 e Windows Server 2025 susceptíveis e aplicar as atualizações de novembro de 2025 que corrigem este defeito. Além disso, convém rever as configurações de conta, as políticas de acesso e os registros de eventos em busca de atividade incomum que pudesse indicar tentativas de escala. Não basta com adesivo: uma estratégia defensiva em camadas —monitorização, segmentação de redes, controles de integridade e privilégios mínimos — reduz o impacto se um atacante conseguir escapar de um controle.
Em termos práticos, o aviso de CISA deve ser lido como um lembrete de que as vulnerabilidades que permitem escalar privilégios são especialmente perigosas pela porta que abrem: a partir de uma conta sem privilégios pode acabar com o controle total do sistema. Por isso a rapidez na aplicação do adesivo e verificação do inventário São medidas-chave para minimizar o risco enquanto as organizações analisam suas defesas e procedimentos.
Para qualquer responsável pela segurança ou administrador, a rota é clara: confirmar a exposição de ativos, publicar as atualizações publicadas pela Microsoft, seguir as guias e mitigações recomendadas pela CISA e Microsoft, e manter uma vigilância ativa para detectar comportamentos anormais. Consultar as fontes oficiais ligadas neste texto é um bom ponto de partida para garantir que as decisões se baseam nas informações mais recentes e fiáveis.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...