Vulnerabilidade CVE-2025-12036: Uma Nova Crítica Exploração de Código Remoto no V8 JavaScript do Chrome

Análise

CVE‑2025‑62215 é uma vulnerabilidade crítica de condição de corrida no Windows Kernel que foi corrigida pela Microsoft em sua atualização Patch Tuesday de novembro de 2025. A falha permite que um atacante com acesso local de baixo privilégio explore uma condição de “double-free” na memória do kernel e escale privilégios para SYSTEM. Como é ativamente explorada e afeta todas as edições suportadas do sistema operacional Windows (e ESU para Windows 10), as organizações enfrentam risco real de comprometimento total do sistema.

Investigação

Para investigar a exposição ao CVE-2025-12036, as equipes de segurança devem começar mapeando todos os endpoints que usam Chrome ou outros navegadores baseados em Chromium. Faça o inventário das versões dos navegadores nos sistemas Windows, macOS e Linux, e marque quaisquer sistemas executando compilações anteriores ao Chrome 141.0.7390.122/.123 como potencialmente vulneráveis. Em seguida, correlacione os endpoints não corrigidos com períodos de atividade de navegação de alto risco, como acesso a sites não confiáveis, campanhas de phishing recentes ou domínios suspeitos de watering-hole. Revise a telemetria de ferramentas EDR, logs de extensões de navegador, e logs de proxy ou firewall em busca de visitas a domínios suspeitos ou recém-registrados que servem JavaScript pesado, falhas de navegador ou comportamento anormal de sandbox que possam indicar tentativas de exploração, e cadeias de processos incomuns originadas do navegador, incluindo shells de comando ou mecanismos de script. Para aprofundar a cobertura, use conteúdo de detecção marcado com CVE e consultas de busca em SIEM, EDR e Data Lakes, e alinhe as descobertas às técnicas MITRE ATT&CK como Comprometimento por Drive-by e Exploração para Execução de Cliente.

Mitigação

Como a exploração do CVE-2025-12036 é trivial uma vez que o usuário acessa uma página maliciosa, a correção deve ser tratada como urgente. Todos os navegadores baseados em Chrome e Chromium devem ser atualizados para pelo menos Chrome 141.0.7390.122/.123 no Windows e macOS, e 141.0.7390.122 no Linux, com atualizações automáticas habilitadas sempre que possível. As equipes de segurança devem verificar o status da correção orientando os usuários, ou impondo via MDM, a acessar Configurações → Sobre o Chrome para que o navegador possa buscar e aplicar as correções mais recentes. Ao mesmo tempo, endureça o uso do navegador impondo o menor privilégio nos endpoints, usando filtragem de URL e gateways web seguros para bloquear domínios conhecidos como maliciosos ou de alto risco, e habilitando proteções como isolamento de site e políticas de extensão rigorosas. Finalmente, integre o CVE-2025-12036 ao gerenciamento de vulnerabilidades para que quaisquer sistemas recém-implantados ou raramente utilizados com compilações do Chrome desatualizadas sejam rapidamente identificados e remediados.

Resposta

Se você suspeitar que o CVE-2025-12036 foi explorado em seu ambiente, comece isolando os endpoints afetados de redes não confiáveis enquanto os mantêm acessíveis para análise forense. Preserve evidências, incluindo imagens de memória para o navegador e processos relacionados, logs do sistema e aplicações (especialmente relatórios de falhas do Chrome e histórico de navegação), e capturas de rede ao redor da janela de exploração suspeita. Em seguida, procure por atividade pós-exploração: mecanismos de persistência incomuns, como novas tarefas agendadas ou serviços, binários ou scripts suspeitos baixados após sessões de navegação de risco, e sinais de roubo de credenciais, como acesso a senhas armazenadas, despejo de tokens, ou eventos de autenticação anormais. Contenha e erradique removendo arquivos maliciosos e artefatos de persistência, e reimagine endpoints de alto risco, se necessário. Finalmente, recupere e melhore girando credenciais, atualizando conteúdo de detecção para padrões de RCE de navegador/V8, e informando usuários e administradores sobre os riscos de exploração drive-by e práticas de navegação mais seguras atreladas ao CVE-2025-12036.