Nesta semana, a comunidade de segurança voltou a receber um sinal de alarme: a Agência de Segurança Cibernética dos EUA ( CISA confirmou) que bandas de ransomware começaram a explorar uma vulnerabilidade de alta gravidade na VMware ESXi que já havia sido empregada em ataques zero-day. Não é uma falha qualquer: trata-se de um mecanismo que permite a um atacante, de dentro de uma máquina virtual com certos privilégios, comprometer o núcleo do hipervisor e “salirse” do ambiente confinado.
Em março de 2025 Broadcom (propietaria da VMware) libertou adesivos para uma série de falhas relacionadas — incluindo a vulnerabilidade de escrita arbitrária no kernel rastreada como CVE‐2025‐22225, junto com uma fuga de memória e um erro de tipo TOCTOU— e já então as qualificou como exploradas na natureza. A descrição técnica indica que, se um adversário alcança privilégios dentro do processo VMX, pode provocar uma escrita arbitrária no kernel e com isso escapar do sandbox da VM, algo que na prática transforma uma máquina virtual comprometida em uma porta de entrada ao resto da infraestrutura.
É importante entender por que esse tipo de falhas são particularly perigosos. Em ambientes virtualizados o hipervisor atua como a camada que separa múltiplas máquinas virtuais e gerencia recursos compartilhados; uma vulnerabilidade que permita romper essa separação dá ao atacante capacidade para se mover lateralmente, acessar dados de outras VMs, ou instalar ferramentas permanentes a nível do host. Por isso, os adesivos da VMware afetam um amplo leque de produtos – incluindo ESXi, vSphere, Workstation e outros – e por isso os atores maliciosos que conseguem encadear falhas com privilégios elevados podem obter controle muito relevante do ambiente.
A confirmação de que esta vulnerabilidade está agora a ser usada em campanhas de ransomware coloca o foco no risco real para empresas e administrações. A agência já incorporou a vulnerabilidade ao seu catálogo de "Known Exploited Vulnerabilities" e, para organismos federais, estabeleceu prazos e diretrizes sob a Binding Operational Directive 22-01. A recomendação oficial é clara: aplicar as mitigações indicadas pelo fabricante, seguir os guias aplicáveis para serviços cloud ou, se não existirem mitigações, deixar de utilizar o produto em causa até que seja possível assegurar.
Não é a primeira vez nos últimos meses que CISA aponta vulnerabilidades em produtos VMware como exploradas em ataques reais. O ecossistema de virtualização é geralmente um objetivo atrativo para grupos criminosos e atores estatais porque muitas cargas críticas e dados sensíveis são executadas sobre essas plataformas: comprometer o hipervisor oferece um retorno operacional muito maior do que atacar uma única máquina isolada. Essa concentração de risco explica a atenção que recebem tanto as atualizações de segurança quanto as ordens de adesivo urgente.
Pesquisas privadas documentaram campanhas sofisticadas que aproveitam essas fraquezas. Empresas de cibersegurança publicaram análises que apontam para atores de fala chinesa acorrendo falhas semelhantes em ataques direcionados desde datas anteriores, sugerindo que esses vetores foram explorados com persistência e certo grau de automação. Para aqueles que gerem infra-estruturas, isto deve ser lido como um aviso: os vetores que hoje aparecem em alertas públicos muitas vezes levam tempo a ataques mais discretos.
Do ponto de vista operacional, a recomendação para equipamentos de TI e segurança é inequívoca: sistema transdérmico o mais rapidamente e seguir as instruções do fornecedor. Além disso, convém rever as configurações de privilégios dentro das máquinas virtuais para minimizar contas e processos com acesso ao processo VMX, reforçar a monitorização sobre atividades anormais no hipervisor e garantir que os respaldos e planos de resposta estão atualizados e testados. Para entidades sujeitas a directivas governamentais, aplicar as ordens de CISA dentro dos prazos é obrigatória.
Há também um componente de detecção e resposta: monitorar indicadores de compromisso associados a vazamentos de sandbox e movimentos laterais, e trabalhar com fornecedores de inteligência e detecção para identificar sinais precoces. Neste sentido, análises independentes criticaram que algumas atualizações da CISA sobre vulnerabilidades exploradas em campanhas de ransomware foram publicadas de forma pouco visível; organizações dedicadas ao rastreamento do ruído da internet e do abuso tentaram lançar luz sobre essas mudanças para ajudar as equipes de defesa a priorizar.
No final, o que fica claro é que a combinação de vulnerabilidades na camada de virtualização oferece um vetor demasiado atraente para os atacantes. A recomendação prática para os responsáveis pelas infra-estruturas é simples em termos de prioridade: agir rapidamente sobre os adesivos publicados pelo fabricante, reduzir a superfície de ataque limitando privilégios, e reforçar as capacidades de detecção para não depender apenas de que o adesivo feche a porta depois de alguém já ter entrado.
Se você quiser consultar fontes oficiais e ampliar informações, você pode revisar a entrada correspondente no catálogo de CISA sobre vulnerabilidades exploradas ( CVE‐2025‐22225 no catálogo da CISA), nota com as adições de Março de 2025 ( avisos da CISA, 4 de março de 2025), a página de avisos de segurança da VMware onde as correcções são publicadas ( VMware Security Advisories) e análises contextuais de empresas de segurança e detecção que acompanharam estas campanhas ( Huntress e GreyNoise).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...