Agora que o Windows 10 deixou de ser suportado, a Microsoft pode focar-se no Windows 11 e garantir que este está isento de problemas de segurança. Infelizmente ainda não o conseguiu de forma total e existem 2 falhas graves no Windows 11 estão a ser exploradas por criminosos. É hora da Microsoft tratar deste problema de uma vez por todas.
Windows 11 tem duas falhas graves de segurança
Duas vulnerabilidades críticas do Windows 11, uma delas ativa desde 2017 e ainda sem correção, estão a ser exploradas em ataques massivos que afetam sistemas em todo o mundo. De acordo com várias empresas de cibersegurança, duas vulnerabilidades graves no sistema operativo Windows 11 estão a ser ativamente exploradas em operações de grande escala na internet.
Uma delas é uma vulnerabilidade zero-day que, apesar de ter sido detetada este ano, tem vindo a ser explorada por atacantes desde 2017. A outra corresponde a uma falha crítica nos serviços de atualização do Windows, que a Microsoft tentou corrigir de forma incompleta e que foi novamente explorada nos últimos dias.
A primeira vulnerabilidade, identificada como CVE-2025-9491, afeta o formato binário dos atalhos do Windows (. lnk). A empresa de segurança Trend Micro descobriu em março que esta falha estava a ser explorada por pelo menos onze grupos de ameaças persistentes avançadas (APT). Estes grupos terão utilizado a vulnerabilidade para instalar diversos payloads em infraestruturas espalhadas por quase 60 países.
Problemas da Microsoft explorados por criminosos
Sete meses depois, a Microsoft ainda não lançou uma correção para esta falha. A empresa de cibersegurança Arctic Wolf acrescentou que esta vulnerabilidade está a ser explorada em ataques contra vários países europeus. Na ausência de uma atualização oficial, os especialistas recomendam bloquear ou restringir a utilização de ficheiros .lnk de fontes não fidedignas. Esta medida preventiva mitiga possíveis ataques.
A segunda vulnerabilidade, CVE-2025-59287, afeta o Windows Server Update Services (WSUS) e permite a execução remota de código. A Microsoft já tinha tentado corrigir esta falha na sua atualização de outubro, mas a correção revelou-se incompleta. Como resultado, a Sophos detetou uma onda de ataques que começou a 23 de outubro, espalhando-se por diversos setores e empresas em todo o mundo.
Embora a Microsoft tenha lançado uma atualização de emergência para esta segunda falha, ainda não há previsão para a correção da vulnerabilidade zero-day pendente. Isso deixa milhões de sistemas Windows 11 potencialmente vulneráveis.