CVE-2025-24993: Buffer Overflow no NTFS do Windows Permite Execução de Código Remoto

O Que é a CVE-2025-24993

Uma vulnerabilidade de heap-based buffer overflow no driver NTFS do Windows, corrigida no Patch Tuesday de março de 2025. CVSS: 7.8. A Microsoft confirmou exploração ativa antes do patch.

O Vetor de Ataque: Um Duplo-Clique

O atacante cria um arquivo .VHD ou .VHDX malicioso. Quando o usuário faz duplo-clique, o Windows monta automaticamente — o driver NTFS processa a imagem e o overflow dispara, executando código com privilégios do usuário atual.

Cenário Completo

1. Arquivo VHD entregue via phishing, e-mail corporativo ou drive compartilhado
2. Vítima faz duplo-clique para "ver o que é"
3. Driver NTFS processa, overflow ocorre, shellcode executa
4. Com escalada adicional (outras CVEs do mesmo Patch Tuesday): SYSTEM

Versões Afetadas

• Windows 10, 11 (todas as versões suportadas)
• Windows Server 2019, 2022, 2025

Mitigação

• Patch imediato: KB5053598 (Win 11), KB5053606 (Win 10)
• Bloqueie montagem de VHD/VHDX via GPO
• Filtre .vhd/.vhdx no gateway de e-mail
• EDR com detecção comportamental — detecta shellcode mesmo sem assinatura

Um duplo-clique no arquivo errado pode comprometer toda uma estação corporativa. Patches não aplicados são convites abertos.

A CyberZ oferece gestão de vulnerabilidades com priorização por exploração ativa. Fale conosco.