Falha Crítica no Windows Installer Permite Escalação de Privilégios para SYSTEM
Aprofundamento CEVIU
Aprofundamento
A falha CVE-2025-27727 no Windows Installer não é um bug de memória, mas sim uma vulnerabilidade lógica insidiosa. Ela explora a confiança do serviço msiexec.exe, que roda com privilégios de SYSTEM, na chave de registro TempPackages. Um atacante com poucas permissões pode encadear chamadas COM específicas para manipular essa chave. Começa com MsiBeginTransactionW, segue com SetEEUIDirectoryAndFilter e termina com CleanupTempPackages, forçando o serviço a apagar diretórios arbitrários como SYSTEM.
O pulo do gato para a execução de código SYSTEM está no diretório C:\Config.Msi. Ele é usado pelo Windows Installer para guardar scripts de rollback de instalações. Manipulando o serviço para apagar e recriar C:\Config.Msi com permissões controladas, o atacante consegue injetar scripts maliciosos. Quando uma instalação falha, o serviço tenta reverter as mudanças usando esses scripts, dando ao atacante execução de código com os mais altos privilégios. Essa técnica ressalta a complexidade de proteger sistemas operacionais, como já alertamos em "Ataques de Escalada de Privilégios e Persistência no Windows Ganham Novas Táticas", de 8 de julho de 2026, sobre a evolução de táticas em ambientes Windows.
O que mudou
A principal mudança aqui é a disponibilização de detalhes técnicos aprofundados sobre a exploração. A Microsoft já havia corrigido esta falha crítica em abril de 2025. Agora, com a análise da Exodus Intelligence, a comunidade de segurança tem um mapa detalhado de como a vulnerabilidade funciona. Isso permite que equipes de resposta a incidentes entendam os vetores de ataque e aprimorem suas defesas. O que era uma falha corrigida, mas com detalhes públicos limitados, agora é uma ameaça tecnicamente documentada.
Por que isso importa
Essa falha sublinha um risco persistente em sistemas operacionais: a escalada de privilégios. Ter um usuário comum obtendo controle total sobre uma máquina Windows é o sonho de qualquer atacante e o pesadelo de qualquer empresa. Ataques como este abrem portas para a disseminação de malwares, roubo de dados ou a desabilitação completa de sistemas. Para gestores de TI e CISOs, a lição é clara: patches devem ser aplicados diligentemente, atividades incomuns em diretórios e chaves de registro sensíveis precisam ser monitoradas, e a lógica por trás dos serviços do sistema deve ser compreendida para uma defesa eficaz.
Linha do tempo
Microsoft lança correção para a vulnerabilidade CVE-2025-27727 no Windows Installer.
Pesquisadores da Exodus Intelligence divulgam detalhes técnicos da falha no Windows Installer.
Perguntas frequentes
O que é o Windows Installer?
O Windows Installer (msiexec.exe) é um serviço essencial do Windows. Ele gerencia a instalação, modificação e remoção de softwares empacotados como .msi. O serviço opera com privilégios de SYSTEM para realizar suas tarefas.
Como a falha no Windows Installer permitia a escalada de privilégios?
A vulnerabilidade era uma falha lógica na interface COM do serviço. Ela permitia que um usuário de baixo privilégio instruísse o Windows Installer a apagar pastas arbitrárias como SYSTEM. Especificamente, o diretório C:\Config.Msi poderia ser manipulado para injetar código malicioso, levando à execução SYSTEM.
Meu sistema Windows ainda está vulnerável a essa falha?
Não. A Microsoft lançou uma correção para esta vulnerabilidade (CVE-2025-27727) em abril de 2025. Sistemas com os patches de segurança mais recentes já estão protegidos contra este vetor de ataque específico.
Quais precauções de segurança são recomendadas?
É fundamental manter os sistemas Windows sempre atualizados com os últimos patches de segurança. Também é prudente monitorar a criação de C:\Config.Msi por usuários não-SYSTEM e alterações suspeitas na chave de registro HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\TempPackages.
Fontes
- blog.exodusintel.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 09 de julho de 2026
- Editoria
- CEVIU Segurança da Informação
