Descoberta e Análise da CVE-2025-29969

A CVE-2025-29969 é uma vulnerabilidade de execução remota de código no protocolo MS-EVEN RPC ️, ativado por padrão no Windows 11 e Windows Server 2025. Ela permite que usuários com poucos privilégios gravem arquivos arbitrários remotamente, explorando uma falha TOCTOU na função de backup do EventLog, contornando efetivamente as limitações padrão do compartilhamento C$. Essa cadeia de ataque combina uma primitiva CreateFile oculta para verificações de existência remota de arquivos/diretórios com uma primitiva de escrita arbitrária. Isso é alcançado pela troca de um arquivo EVTX controlado pelo invasor em um compartilhamento SMB remoto entre a validação de cabeçalho e o backup, o que possibilita a execução de código via scripts em lote da pasta Startup ou sequestro de DLL . Embora a Microsoft tenha corrigido a primitiva de escrita TOCTOU em maio de 2025, as capacidades de reconhecimento que permitem a enumeração remota de arquivos em máquinas ingressadas no domínio permanecem sem correção.