Falha de Escalação de Privilégios no Windows Cloud Files em Exploração Ativa

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

A Microsoft corrigiu uma vulnerabilidade crítica no driver Windows Cloud Files Minifilter, identificada como CVE-2025-55680, que permite a atacantes locais escalar privilégios e criar arquivos arbitrários no sistema. Descoberta por pesquisadores da Exodus Intelligence em março de 2024, a falha foi incluída nas atualizações de segurança de outubro de 2025, recebendo uma pontuação CVSS de 7.8 devido à sua capacidade de conceder acesso em nível SYSTEM por meio de técnicas de side-loading de DLLs.

A vulnerabilidade reside na função HsmpOpCreatePlaceholders do driver cldflt.sys, que é responsável pela criação de placeholders para arquivos na nuvem. Um problema de condição de corrida (TOCTOU) permite que atacantes alterem um buffer mapeado entre a validação do nome do arquivo e a chamada subsequente para criar o arquivo, possibilitando a criação de arquivos em diretórios restritos, como C:\Windows\System32. Embora não haja exploração confirmada em larga escala, especialistas em segurança consideram a vulnerabilidade como “mais provável de ser explorada” devido à sua natureza simples.

A Microsoft recomenda a aplicação imediata do patch e sugere que as empresas realizem auditorias no uso do OneDrive e implementem políticas de menor privilégio para mitigar ameaças locais.

Fonte: https://cyberpress.org/cloud-files-minifilter-flaw/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
30/10/2025 • Risco: ALTO
VULNERABILIDADE

Falha de Escalação de Privilégios no Windows Cloud Files em Exploração Ativa

RESUMO EXECUTIVO
A vulnerabilidade CVE-2025-55680 no Windows Cloud Files Minifilter pode permitir que atacantes locais escalem privilégios e criem arquivos em diretórios restritos, como System32. A correção foi disponibilizada em outubro de 2025, e a exploração é considerada mais provável devido à simplicidade do ataque. A mitigação imediata é recomendada para proteger sistemas críticos.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais custos associados a incidentes de segurança e recuperação de sistemas.
Operacional
Possibilidade de execução de código em contexto de kernel e criação de arquivos maliciosos em áreas restritas do sistema.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Setor Público']

📊 INDICADORES CHAVE

Pontuação CVSS de 7.8 Indicador
Vulnerabilidade descoberta em março de 2024 Contexto BR
Patch liberado em outubro de 2025 Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se o patch de outubro de 2025 foi aplicado em todos os sistemas.
2 Implementar políticas de menor privilégio e monitorar operações de arquivos em diretórios de sincronização na nuvem.
3 Monitorar continuamente atividades suspeitas em diretórios críticos e operações de criação de arquivos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de exploração local que pode comprometer sistemas críticos e dados sensíveis.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Status
patch_disponivel
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).