Uma falha crítica de execução remota de código no Windows Graphics Component da Microsoft permite que invasores tomem o controle de sistemas usando imagens JPEG especialmente criadas.
Com uma pontuação CVSS de 9,8, esta vulnerabilidade representa uma grave ameaça para os usuários do Windows em todo o mundo, pois não requer interação do usuário para ser explorada.
Descoberto em maio de 2025 e corrigido pela Microsoft em 12 de agosto de 2025, o problema decorre de uma desreferência de ponteiro não confiável na biblioteca windowscodecs.dll, afetando as principais funções de processamento de imagem.
Os invasores podem incorporar JPEG malicioso em arquivos do dia a dia, como documentos do Microsoft Office, permitindo comprometimento silencioso quando o arquivo é aberto ou visualizado.
Essa falha destaca os riscos contínuos no manuseio de gráficos legados, onde a decodificação de imagens aparentemente inócua pode resultar no controle completo do sistema. À medida que o Windows alimenta bilhões de dispositivos, os sistemas sem correção permanecem altamente expostos a campanhas de phishing ou downloads drive-by.
Zscaler ThreatLabz identificou a vulnerabilidade por meio de difusão direcionada do componente de imagem do Windows, com foco na codificação JPEG e caminhos de decodificação em windowscodecs.dll.
O ponto de entrada para exploração está na função GpReadOnlyMemoryStream::InitFile, onde tamanhos de buffer manipulados permitem que invasores controlem instantâneos de memória durante o mapeamento de arquivos.
A difusão revelou uma falha desencadeada pela desreferenciação de um ponteiro não inicializado em jpeg_finish_compress+0xcc, expondo dados controláveis pelo usuário por meio de heap spraying.
Os rastreamentos de pilha da análise do WinDbg apontaram para funções importantes como CJpegTurboFrameEncode::HrWriteSource e CFrameEncodeBase::WriteSource, confirmando a falha nos processos de codificação de metadados JPEG.
Esse problema de recurso não inicializado permite a execução arbitrária de código sem privilégios, tornando-o explorável em redes. A Microsoft confirmou que a vulnerabilidade afeta a renderização automática de imagens em aplicativos que dependem do componente gráfico.
Versões e patches afetados
A vulnerabilidade afeta versões recentes do Windows, especialmente aquelas que usam versões vulneráveis do windowscodecs.dll. As organizações devem priorizar as atualizações para mitigar os riscos, pois a exploração pode ser encadeada com outros ataques para movimentação lateral nas redes.
ProdutoVersão afetadaVersão corrigidaWindows Server 202510.0.26100.485110.0.26100.4946Windows 11 versão 24H2 (x64)10.0.26100.485110.0.26100.4946Windows 11 versão 24H2 (ARM64)10.0.26100.485110.0.26100.4946Windows Server 2025 (núcleo)10.0.26100.485110.0.26100.4946
Mecânica de exploração e prova de conceito
A exploração do CVE-2025-50165 envolve a criação de um JPEG que aciona a desreferência do ponteiro durante a decodificação, geralmente por meio de arquivos incorporados no Office ou em aplicativos de terceiros.
Para sistemas de 64 bits, os invasores ignoram o Control Flow Guard usando cadeias de Programação Orientada a Retorno (ROP) em pedaços de heap pulverizados de tamanho 0x3ef7. Isso dinamiza a execução criando memória de leitura-gravação-execução com VirtualAlloc e carregando shellcode para acesso persistente.
Exploração de vulnerabilidade gráfica do Windows
A prova de conceito do Zscaler demonstra a manipulação de heap por meio de um aplicativo de exemplo que aloca, libera e processa JPEGs codificados em Base64, obtendo controle RIP.
Embora nenhuma exploração tenha sido relatada, a baixa complexidade e o amplo alcance da rede tornam-no um alvo principal para ransomware ou espionagem. O CFG está desabilitado por padrão nas versões de 32 bits, facilitando ataques em configurações mais antigas.
Os usuários devem aplicar imediatamente as atualizações do Patch Tuesday de agosto de 2025 por meio do Windows Update, visando primeiro ativos de alto valor. Desative as visualizações automáticas de imagens em clientes de e-mail e aplique sandbox para arquivos não confiáveis. Zscaler implementou proteções baseadas em nuvem para bloquear tentativas de exploração.
Este incidente ressalta os perigos das bibliotecas gráficas sem correção em ambientes empresariais, onde os JPEGs são onipresentes nos fluxos de trabalho.
À medida que os agentes da ameaça evoluem as táticas, a correção oportuna continua sendo a defesa mais forte contra esses venenos com pixels perfeitos. Sem nenhuma exploração ativa observada ainda, medidas proativas podem prevenir danos generalizados.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Contate-nos para apresentar suas histórias.
