A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) adicionou ao seu catálogo de vulnerabilidades conhecidas exploradas uma falha crítica no Windows Task Host. A CVE-2025-60710 está sendo ativamente explorada por atacantes para obter controle total sobre sistemas Windows 11 e Windows Server 2025.
Mecanismo técnico da vulnerabilidade
A falha reside no Host Process for Windows Tasks, componente central do sistema operacional que funciona como contêiner para processos baseados em DLL (bibliotecas de vínculo dinâmico que contêm código e dados usados por múltiplos programas). O Task Host garante que estes processos operem em segundo plano e sejam encerrados corretamente durante o desligamento do sistema, evitando corrupção de dados.
O mecanismo de exploração envolve uma fraqueza do tipo “link following” — quando o sistema segue links simbólicos sem validar adequadamente o destino final. Esta vulnerabilidade de escalonamento de privilégios permite que um atacante com acesso local e permissões básicas de usuário execute ataques de baixa complexidade para obter privilégios SYSTEM, o nível mais alto de autorização no Windows.
Cadeia de ataque e impacto
Para explorar a CVE-2025-60710, o atacante precisa primeiro obter acesso local ao sistema alvo com credenciais válidas de usuário comum. Uma vez autenticado, pode explorar a fraqueza de resolução de links no Windows Task Host para elevar seus privilégios ao nível SYSTEM.
Com privilégios SYSTEM, o atacante obtém controle total sobre o dispositivo comprometido, podendo instalar malware, criar contas administrativas, acessar dados sensíveis, modificar configurações de segurança e estabelecer mecanismos de persistência. A baixa complexidade do ataque torna esta vulnerabilidade particularmente perigosa em ambientes onde atacantes já possuem acesso inicial através de phishing ou outras técnicas.
Resposta e recomendações oficiais
A Microsoft já disponibilizou correções para a vulnerabilidade, que devem ser aplicadas imediatamente em todos os sistemas Windows 11 e Windows Server 2025. A CISA estabeleceu prazo de duas semanas para que agências federais americanas implementem as atualizações, conforme determinado pela Binding Operational Directive (BOD) 22-01 — diretiva que estabelece prazos obrigatórios para correção de vulnerabilidades conhecidas exploradas.
Embora a diretiva BOD 22-01 se aplique formalmente apenas a agências do governo federal dos Estados Unidos, a CISA recomenda fortemente que organizações do setor privado também priorizem a aplicação imediata das correções. Para ambientes onde a atualização não é imediatamente possível, a agência sugere implementar mitigações temporárias conforme instruções do fornecedor ou, em último caso, descontinuar o uso do produto afetado.
Contexto de ameaças e outras vulnerabilidades
A inclusão da CVE-2025-60710 no catálogo de vulnerabilidades exploradas ativamente ocorre em um momento de intensa atividade de correções. O mais recente Patch Tuesday da Microsoft incluiu atualizações para 167 vulnerabilidades, demonstrando o volume crescente de falhas que demandam atenção urgente das equipes de segurança.
A CISA também alertou recentemente sobre exploração ativa de uma vulnerabilidade no Ivanti Endpoint Manager Mobile (EPMM), evidenciando que atacantes estão aproveitando múltiplas frentes para comprometer sistemas corporativos. A combinação de vulnerabilidades em produtos amplamente utilizados cria um cenário desafiador para profissionais de segurança, que precisam priorizar correções baseadas em risco e exposição.
Implicações para organizações brasileiras
Embora as diretrizes da CISA sejam voltadas ao governo americano, organizações brasileiras que utilizam Windows 11 ou Windows Server 2025 devem tratar esta vulnerabilidade com máxima prioridade. A confirmação de exploração ativa significa que ferramentas e técnicas para comprometer sistemas através desta falha já circulam entre grupos de atacantes.
Equipes de segurança devem revisar imediatamente seu inventário de ativos para identificar sistemas vulneráveis, priorizar a aplicação de patches em infraestrutura crítica e monitorar logs em busca de indicadores de tentativas de escalonamento de privilégios. A natureza local da exploração não diminui seu risco — muitos ataques modernos combinam múltiplas vulnerabilidades, usando falhas como a CVE-2025-60710 para movimentação lateral após o comprometimento inicial.