Vulnerabilidade CVE-2025-41244: Zero-Day em VMware Tools e Aria explorado para escalonamento de privilégios
Logo após o CVE-2025-20352, uma falha crítica no Cisco IOS e IOS XE explorada ativamente em ataques reais, o cenário de ciberameaças é novamente abalado por outro zero-day. Identificada como CVE-2025-41244, esta vulnerabilidade recentemente weaponizada afeta o VMware Tools e o VMware Aria Operations, permitindo elevação de privilégios local e habilitando que usuários sem privilégios executem código com privilégios de root nos sistemas afetados.
Em 2025, a gestão de vulnerabilidades se tornou uma prioridade crítica global, à medida que organizações enfrentam riscos de cibersegurança crescentes. Mais de 35.000 vulnerabilidades foram divulgadas mundialmente, representando um aumento de 21% em relação ao ano anterior e intensificando a pressão sobre as equipes de segurança para se manterem atualizadas. Com a exploração permanecendo como o principal vetor de ataque e os atores de ameaça adotando métodos cada vez mais sofisticados, a detecção proativa é essencial para reduzir a superfície de ataque.
A facilidade de exploração do novo zero-day do VMware Tools e Aria (CVE-2025-41244) evidencia a importância crítica de aplicar patches rapidamente, monitorar processos de forma vigilante e fortalecer os ambientes de VM convidadas para se defender contra ameaças zero-day semelhantes.
Cadastre-se na Plataforma SOC Prime para acessar a mais alta expertise em cibersegurança e IA para defesa cibernética empresarial. A SOC Prime Platform oferece detecções curadas e enriquecidas com contexto para ajudar organizações a superar ameaças de qualquer sofisticação, incluindo o crescente volume de vulnerabilidades zero-day que afetam softwares amplamente utilizados. Clique no botão Explorar Detecções abaixo para acessar instantaneamente a coleção completa de regras Sigma relevantes filtradas pela tag “CVE” e prevenir ataques que explorem vulnerabilidades conhecidas e emergentes.
Os algoritmos de detecção mencionados acima, que abordam tentativas de exploração de vulnerabilidades, estão mapeados para o framework MITRE ATT&CK® e aprimorados com inteligência de ameaças nativa de IA para fornecer contexto aprofundado de ciberameaças e acelerar a pesquisa de ameaças. As regras Sigma podem ser convertidas automaticamente em múltiplos formatos SIEM, EDR e Data Lake, simplificando o processo de engenharia de detecção e aumentando a produtividade da equipe.
Com o Uncoder AI, copiloto de IA e IDE para engenharia de detecções, equipes de segurança podem transformar inteligência de ameaças bruta de relatórios em consultas IOC personalizadas, visualizar Fluxos de Ataque, obter resumos concisos ou árvores de decisão, potencializar estratégias de detecção com etiquetagem de código ML baseada em ATT&CK® e autocompletar ilimitado, ou otimizar consultas no idioma nativo com IA. A última versão do Uncoder AI oferece um modo Chat Bot de IA e ferramentas MCP para auxiliar especialistas em segurança a gerenciar tarefas de engenharia de detecção de ponta a ponta.
Análise CVE-2025-41244
Os defensores identificaram uma nova vulnerabilidade zero-day de elevação de privilégios local no VMware Tools e VMware Aria Operations, sendo explorada ativamente em ataques reais. A falha crítica, registrada como CVE-2025-41244, com pontuação CVSS de 7.8, afeta o Service Discovery Management Pack (SDMP) do VMware Tools e VMware Aria Operations, permitindo que usuários sem privilégios executem código arbitrário com privilégios root.
Pesquisadores da NVISO rastrearam o problema até uma vulnerabilidade de Untrusted Search Path (CWE-426) no script get-versions.sh, que usa padrões regex muito amplos para localizar binários de serviço. Um atacante pode colocar um binário malicioso em um diretório com permissão de escrita (ex.: /tmp/httpd), que o processo de descoberta de serviços do VMware executa com privilégios elevados, concedendo acesso root completo.
A vulnerabilidade afeta tanto o descobrimento sem credenciais (via VMware Tools em VMs convidadas) quanto o descobrimento legado baseado em credenciais (via VMware Aria Operations). Pesquisadores confirmaram a mesma falha no open-vm-tools, incluído na maioria das distribuições Linux.
A exploração pode ser detectada monitorando processos filhos incomuns de vmtoolsd ou get-versions.sh, ou inspecionando arquivos de script residuais em /tmp/VMware-SDMP-Scripts-{UUID}/.
No 1º trimestre de 2024, grupos APT ligados à China, Coreia do Norte, Irã e Rússia demonstraram táticas cada vez mais avançadas e inovadoras em operações de ciberespionagem, explorando vulnerabilidades em tecnologias amplamente usadas como VMware. Por exemplo, o grupo UNC3886 com vínculo na China tem implementado ativamente um extenso conjunto de técnicas maliciosas, incluindo exploits zero-day em VMware e Fortinet, ao longo de 2024.
A exploração ativa em ambiente real do CVE-2025-41244 foi atribuída ao UNC5174, grupo suspeito de ser patrocinado pela China, conhecido por utilizar exploits públicos em operações de acesso inicial.
Como medidas de mitigação para o CVE-2025-41244, a Broadcom lançou patches e recomenda atualizações imediatas para minimizar o risco de exploração. Recomendações adicionais incluem monitorar processos filhos anômalos de vmtoolsd ou Aria SDMP, restringir o acesso de escrita a diretórios de risco e limitar a conectividade das VMs convidadas às redes internas para reduzir riscos de intrusão.
Para ajudar organizações a identificar rapidamente ameaças emergentes e prevenir ataques sofisticados de forma proativa, equipes de segurança podem confiar no portfólio empresarial da SOC Prime, apoiado por expertise de ponta e tecnologias avançadas que integram IA, automação e inteligência de ameaças em tempo real para uma defesa cibernética preparada para o futuro.
