Terceira vez que patches da Microsoft são contornados. Atacantes extraem hashes NTLMv2-SSP via arquivos .LNK maliciosos — sem nenhum clique do usuário.
CVE-2025-59214 — CVSS 6.5 (Médio)
Vulnerabilidade de spoofing no Windows File Explorer que permite a um atacante remoto não autenticado extrair hashes NTLMv2-SSP sem interação do usuário. Representa o terceiro bypass consecutivo de patches da Microsoft para o mesmo vetor de ataque.
| Identificador | CVE-2025-59214 |
| Produto afetado | Windows File Explorer (explorer.exe) |
| Sistemas afetados | Windows 10 (todas versões), Windows 11 (22H2, 23H2, 24H2, 25H2), Windows Server 2008 SP2 até 2025 |
| Tipo de vulnerabilidade | Spoofing / Divulgação de informação sensível (CWE-200) |
| CVSS v3.x (Base Score) | 6.5 MEDIUM — CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
| Interação do usuário | Zero-click (nenhuma interação necessária) |
| Data de publicação NVD | 14 de outubro de 2025 |
| Patches anteriores contornados | CVE-2025-24054 (março 2025) e CVE-2025-50154 (abril 2025) |
| Pesquisador responsável | Ruben Enkaoua — Cymulate Research Labs |
| Status | Patch oficial disponível (outubro 2025) |
O CVE-2025-59214 é uma vulnerabilidade de spoofing no Windows File Explorer que permite a um atacante remoto extrair hashes NTLMv2-SSP de sistemas Windows sem qualquer interação do usuário. A falha foi descoberta pela equipe de pesquisa da Cymulate Research Labs e representa o terceiro bypass consecutivo de patches da Microsoft para o mesmo vetor de ataque, iniciado com o CVE-2025-24054 em março de 2025.[1][2][3]
O ataque funciona por meio de arquivos .LNK (atalhos do Windows) maliciosos. Quando o Explorer processa um arquivo .LNK cujo campo Target aponta para um caminho UNC (Universal Naming Convention) em um servidor controlado pelo atacante, o sistema automaticamente inicia uma autenticação NTLM — vazando o hash da credencial do usuário logado para o servidor do atacante, sem que a vítima precise clicar em nada.[3]
O hash capturado pode ser utilizado em ataques de relay NTLM (man-in-the-middle para autenticar em outros serviços como a vítima) ou em ataques de força bruta offline, podendo levar a escalada de privilégios, movimento lateral e execução remota de código — especialmente grave quando a conta comprometida possui privilégios elevados.[3][7]
Esta não é a primeira vez que a Microsoft tenta corrigir este vetor de ataque. A linha do tempo abaixo mostra como cada patch foi contornado:[3]
Microsoft lança patch para bloquear a técnica de divulgação de hash NTLMv2-SSP via criação de arquivos de atalho no Explorer. O patch verifica o campo Icon do arquivo .LNK.
Cymulate descobre que o patch não funciona para arquivos .LNK cujo campo Target aponta para um caminho UNC com o Icon definido como shell32.dll. Novo CVE atribuído.
Após atualização de agosto (KB5063880), a 0patch notifica a Cymulate que a vulnerabilidade ainda existe em sistemas totalmente atualizados. O MSRC confirma que o código de verificação de segurança executa apenas uma vez — verificando o campo Icon mas ignorando o campo Target em caminhos UNC.
A explicação técnica fornecida pelo MSRC à Cymulate foi: "O código de verificação de segurança para vulnerabilidades binárias zero-click tinha uma lacuna — o código de verificação é permitido executar apenas uma vez, portanto para o campo Icon funcionou corretamente, mas para o campo Target é ignorado. Devido a essa limitação, o código tomou um caminho de execução diferente para o valor Target em caminho UNC, verificando a existência do caminho UNC e inadvertidamente vazando hashes de autenticação NTLM."[3]
Embora o CVSS seja classificado como "Médio" (6.5), o impacto real pode ser muito mais severo em ambientes corporativos. O NTLM, apesar de ser um protocolo legado, ainda é amplamente utilizado em redes Windows para autenticação em compartilhamentos de arquivos, servidores de e-mail e outros serviços internos.[1][7]
O hash capturado pode ser retransmitido para autenticar em outros serviços da rede como a vítima, sem precisar decifrar a senha.
Hashes NTLMv2-SSP podem ser submetidos a ataques de dicionário ou força bruta offline, sem alertar sistemas de detecção.
Se a conta comprometida for de um administrador de domínio, o atacante obtém controle total sobre o ambiente Active Directory.
Com credenciais válidas, o atacante pode se mover lateralmente pela rede, comprometendo outros sistemas sem levantar suspeitas.
A Microsoft tomou uma medida adicional além do patch: em outubro de 2025, a empresa desabilitou a pré-visualização de arquivos baixados da internet no Windows File Explorer como medida de mitigação imediata, reconhecendo a gravidade do vetor de ataque.[8]
A vulnerabilidade afeta uma ampla gama de versões do Windows, tanto para desktop quanto para servidor:[1][2]
Aplique as atualizações cumulativas de outubro de 2025 para todas as versões afetadas do Windows 10, Windows 11 e Windows Server (2008–2025). O patch oficial está disponível no Windows Update e no Microsoft Update Catalog.[2][9]
Configure a Política de Grupo para restringir o envio de autenticação NTLM para servidores remotos. Acesse:
Configuração do Computador → Configurações do Windows → Configurações de Segurança → Políticas Locais → Opções de Segurança → Segurança de Rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos → Negar tudoA equipe de pesquisa da Vicarius disponibilizou scripts PowerShell gratuitos para detectar a exposição e aplicar mitigações temporárias enquanto o patch não pode ser instalado imediatamente:
Atenção: A Vicarius recomenda fortemente testar os scripts em ambiente de laboratório antes de aplicar em produção. Requer privilégios de administrador.
O NTLM (New Technology LAN Manager) é a família de protocolos de autenticação da Microsoft usada para verificar identidades de usuários em redes Windows. Funciona por meio de um processo de desafio-resposta direto entre cliente e servidor — o servidor emite um desafio, e o cliente prova sua identidade sem transmitir a senha real pela rede.[3]
Embora o NTLMv2 seja protegido contra ataques de tabelas rainbow e pass-the-hash direto, os hashes capturados ainda podem ser explorados de duas formas principais: por força bruta offline (sem alertar sistemas de detecção) ou por ataques de relay, onde o hash roubado é retransmitido para outro serviço para autenticar como o usuário comprometido.
Apesar de a Microsoft recomendar a migração para Kerberos, o NTLM ainda é amplamente utilizado em redes corporativas para compatibilidade com sistemas legados, tornando-o um alvo recorrente de pesquisadores de segurança e atacantes.
A descoberta do CVE-2025-59214 demonstra que mesmo vulnerabilidades corrigidas podem permanecer exploráveis quando as verificações de segurança não são aplicadas de forma consistente em todos os campos de entrada. Após dois patches para o mesmo vetor (CVE-2025-24054 e CVE-2025-50154), atacantes ainda conseguem acionar vazamentos de hash NTLM em sistemas considerados totalmente atualizados.[3]
Isso reforça a necessidade de uma abordagem de defesa em profundidade: aplicar patches é necessário, mas não suficiente. Organizações devem complementar com controles de rede (bloqueio de SMB de saída), políticas de restrição NTLM, monitoramento contínuo de autenticações suspeitas e validação adversarial periódica para garantir que "corrigido" não significa "seguro".
A SUPRYX pode ajudar sua organização a avaliar a exposição ao CVE-2025-59214 e implementar controles de mitigação adequados. Entre em contato com nossa equipe para uma avaliação personalizada.
Nota editorial: Este artigo foi elaborado com base em fontes públicas verificadas. A SUPRYX não possui afiliação comercial com a Cymulate ou Vicarius além das parcerias de revenda declaradas. As informações técnicas foram verificadas contra os registros oficiais do NVD/NIST e Microsoft MSRC.