Hack Alerta

2025: avanço dos ataques zero‑click e lições para CISOs

Por Redação Hack Alerta Publicado em 24/12/2025 06:00 Riscos e Ameaças Tempo de leitura: 4 min

Relatório consolidado de 2025 mostra que ataques zero‑click ampliaram o alcance: vulnerabilidades em iOS, Android, Outlook, frameworks web e agentes de IA foram exploradas ativamente. Patching rápido e defesa em profundidade são apontados como medidas críticas.

Resumo

Relatórios compostos ao longo de 2025 mostram que ataques "zero‑click" deixaram de ser raridades de espionagem para tornar‑se vetores amplos e automatizados, afetando plataformas móveis, infraestruturas corporativas e agentes de IA. A compilação inclui explorações ativas, cadeias de ataque e recomendações táticas para equipes de segurança.

Descoberta e escopo

Fontes reunidas durante 2025 indicam pelo menos 14 vulnerabilidades significativas de zero‑click que impactaram bilhões de dispositivos, e o Threat Intelligence Group do Google registrou 75 zero‑days explorados ativamente em 2024. No primeiro semestre de 2025 foram divulgados mais de 21.500 CVEs, segundo os levantamentos citados pela reportagem.

Vetores, CVEs e campanhas confirmadas

O material descreve casos concretos e CVEs com exploração ativa ou impacto operacional claro:

  • Cadeias de zero‑click contra iOS envolvendo CVE‑2025‑43300 (ImageIO) e CVE‑2025‑55177 (WhatsApp) usadas para comprometer jornalistas e defensores de direitos humanos.
  • Exploração de CVE‑2025‑43200 por spyware comercial (Graphite), em ataques que acionavam RCE via iCloud Links sem interação do usuário.
  • Android: CVE‑2025‑21042 foi usada para entregar o spyware LANDFALL via arquivos DNG enviados por WhatsApp em modelos Galaxy S22–S24.
  • Infraestrutura e e‑mail: CVE‑2025‑21298 (Windows OLE, CVSS 9.8) permitia execução remota ao pré‑visualizar mensagens RTF no Outlook.
  • Agentes de IA: CVE‑2025‑32711 (apelidado EchoLeak, CVSS 9.3) afetou o Microsoft 365 Copilot ao permitir exfiltração automática de dados por e‑mail sem clique do usuário; outro caso (denominado ShadowLeak) mostrou agentes de pesquisa do ChatGPT exfiltrando conteúdo de Gmail.
  • Plataformas web e wormability: React2Shell (CVE‑2025‑55182, CVSS 10.0) impactou React Server Components / Next.js, possibilitando RCE via requisição HTTP; e uma família de falhas no AirPlay (incluindo CVE‑2025‑24252 e CVE‑2025‑24206) apresentou comportamento wormable em redes locais.

Evidências de alvo e alcance

Relatos forenses citados confirmam comprometimentos de alvos de alto valor: Citizen Lab vinculou exploitações a jornalistas europeus que rodavam iOS 18.2.1, e o WhatsApp informou que menos de 200 usuários foram alvo em campanhas sofisticadas de spyware. Em vários casos o código explorador foi aplicado contra sistemas totalmente atualizados no momento da intrusão.

O que mudou agora

Duas mudanças estruturais destacadas pela apuração:

  • Redução drástica da "time to exploit": a média caiu para cerca de cinco dias em 2024, segundo os levantamentos citados, tornando ciclos mensais de patch insuficientes.
  • Industrialização das explorações: atores estatais, fornecedores comerciais de vigilância e grupos criminosos automatizaram pipelines de exploração, ampliando escala e velocidade.

Impacto operacional para organizações

As consequências práticas descritas incluem risco de RCE sem interação do usuário, exfiltração invisível via agentes de IA, propagação worm‑like em redes locais e entrega de spyware comercial com capacidades de vigilância completa (microfone, câmera, localização e exfiltração de mensagens). Em síntese: ataques zero‑click reduzem a janela de detecção e aumentam a probabilidade de comprometimento mesmo em endpoints atualizados.

Recomendações observadas nas fontes

As medidas apontadas como críticas pelas fontes e especialistas citados são:

  • Priorizar rapidez de patch — adotar automação e mitigação compensatória para reduzir a janela de exposição.
  • Implantar defesa em profundidade: limitar privilégios, segmentação de rede e monitoramento comportamental para detectar atividade pós‑compromisso.
  • Habilitar proteções de plataforma para usuários de alto risco (por exemplo, modos de bloqueio em iOS) e aplicar políticas de hardening para agentes de IA e conectores externos.
  • Priorizar a correção de vulnerabilidades ativamente exploradas e avaliar o risco de componentes com grande base instalada (clientes de e‑mail, frameworks web, stacks de AI).

Limitações e lacunas de informação

O material compilado é abrangente, mas não detalha métricas consolidadas por setor (nº total de vítimas globais além dos casos pontuais) nem fornece listas de IoCs completas em texto aberto — essas foram tratadas em relatórios técnicos separados mencionados nas fontes. Onde a apuração não traz números adicionais, indicamos explicitamente que faltam dados consolidados.

Implicações para CISOs

Para equipes de segurança, as evidências reforçam dois imperativos simples e urgentes: acelerar a velocidade de mitigação de vulnerabilidades críticas e tratar processos automatizados (mensaging parsing, sincronização, agentes de IA) como superfícies de ataque. Estratégias de risco baseado em ativos e usuários de alto perfil devem ser aplicadas sem demora.

Fontes principais: Cyber Security News, Google Threat Intelligence, Citizen Lab, relatórios forenses e análises de CVE citadas nos textos originais.

Baseado em publicação original de Cyber Security News
Tags: #zero-click #spyware #ios #android #outlook #react #nextjs #copilot #ai-agent
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar