A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha recém-descoberta e outra muito mais antiga ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).
O catálogo KEV fornece às agências do Poder Executivo Federal Civil (FCEB) uma lista de vulnerabilidades que são conhecidas por serem exploradas em ambiente real, juntamente com prazos para quando elas devem ser corrigidas. Em ambos os casos, a data de vencimento é 28 de janeiro de 2026.
Mas os alertas da CISA não são apenas para agências governamentais. Eles também fornecem orientações para empresas e utilizadores finais sobre quais vulnerabilidades devem ser corrigidas primeiro, com base em explorações reais.
Uma falha crítica no HPE OneView
A vulnerabilidade recentemente descoberta, identificada como CVE-2025-37164, tem uma pontuação CVSS de 10 em 10 e permite a execução remota de código. A falha afeta o HPE OneView, uma plataforma usada para gerenciar infraestrutura de TI, e um patch foi lançado em 17 de dezembro de 2025.
Esta vulnerabilidade crítica permite que um invasor remoto e não autenticado execute código e, potencialmente, obtenha controlo em grande escala sobre servidores, firmware e gestão do ciclo de vida. Plataformas de gestão como o HPE OneView são frequentemente implementadas no interior das redes empresariais, onde têm privilégios extensivos e monitorização limitada, uma vez que são consideradas confiáveis.
O código de prova de conceito (PoC), na forma de um módulo Metasploit, foi divulgado ao público apenas um dia após o lançamento do patch.
Uma vulnerabilidade do PowerPoint de 2009 ressurge
O dinossauro da cibersegurança aqui é uma vulnerabilidade no Microsoft PowerPoint, identificada como CVE-2009-0556, que remonta a mais de 15 anos. Ela afeta:
- Microsoft Office PowerPoint 2000 SP3
- PowerPoint 2002 SP3
- PowerPoint 2003 SP3
- PowerPoint no Microsoft Office 2004 para Mac
A falha permite que invasores remotos executem código arbitrário, induzindo a vítima a abrir um ficheiro PowerPoint especialmente criado para provocar corrupção de memória.
No passado, essa vulnerabilidade foi explorada por um malware conhecido como Apptom. A CISA raramente adiciona vulnerabilidades ao catálogo KEV com base em exploits antigos, portanto, o reaparecimento «repentino» da vulnerabilidade do PowerPoint de 2009 sugere que os atacantes estão a visar instalações legadas do Office ainda em uso.
A exploração bem-sucedida pode permitir que os invasores executem códigos arbitrários, implantem malware e estabeleçam uma base para movimentação lateral dentro de uma rede. Ao contrário da falha do HPE OneView, esse ataque requer interação do utilizador — o alvo deve abrir o ficheiro PowerPoint malicioso.
Fique seguro
Quando se trata de gerir vulnerabilidades, priorizar quais patches aplicar é uma parte importante para se manter seguro. Portanto, para garantir que não seja vítima da exploração de vulnerabilidades conhecidas:
- Fique atento ao catálogo CISA KEV como um guia do que está atualmente em exploração ativa.
- Atualize o mais rápido possível, sem interromper a rotina diária.
- Use uma solução antimalware atualizada em tempo real para interceptar exploits e ataques de malware.
- Não abra anexos não solicitados sem verificar com o remetente — confiável.
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
