Pesquisa da Claroty e alerta da CISA descrevem um caminho de exploração que transforma um clique em execução de código no Windows.
Claroty identificou uma falha crítica no IDIS Cloud Manager (ICM) Viewer para Windows, rastreada como CVE‑2025‑12556 (CVSS 8.7), que permite a execução remota de código no host quando um usuário visita uma página maliciosa ou clica em um link especialmente preparado.
Descoberta e escopo
A ICM Viewer é um aplicativo Windows usado para monitorar feeds de câmeras IP IDIS em ambientes empresariais, industriais e—conforme a pesquisa—em instalações militares. Claroty descreve a descoberta no contexto de investigação sobre arquiteturas modernas de vigilância em nuvem.
Vetor técnico e mecanismo de exploração
O vetor explora um serviço local do ICM chamado CWGService.exe, que escuta na porta local 16140 e aceita comandos para iniciar o ICM Viewer com parâmetros específicos. O serviço não valida a origem das requisições nem higieniza argumentos, permitindo que JavaScript hospedado numa página maliciosa abra uma conexão WebSocket local e envie comandos cifrados que incluem argumentos manipulados.
O ICM Viewer utiliza Chromium Embedded Framework (CEF) e aceita flags de linha de comando. Pesquisadores demonstraram que a flag de depuração --utility-cmd-prefix pode ser injetada na cadeia de execução, permitindo que processos utilitários do viewer sejam encapsulados por comandos arbitrários — em prova de conceito, foi possível acionar o Notepad. A exploração exige apenas que a vítima clique em um link ou visite a página maliciosa; não há autenticação adicional.
Impacto e alcance
Com CVSS 8.7 e facilidade de exploração (um clique), a vulnerabilidade representa um risco relevante para qualquer organização que use o ICM Viewer em estações de trabalho com acesso à web. Uma máquina comprometida pode servir como ponto de apoio para roubo de dados, instalação de malware adicional e movimentação lateral para outros sistemas de vigilância ou infraestruturas internas.
Orientações e mitigação
A CISA emitiu um advisory recomendando que todos os usuários do ICM Viewer atualizem imediatamente para a versão 1.7.1. Alternativamente, a agência recomenda desinstalar o software se não for necessário. A matéria também sugere, implicitamente, medidas de mitigação complementares usadas por equipes de resposta: isolar estações de trabalho que executam o viewer, bloquear a porta local 16140 quando possível e rever políticas de navegação para reduzir risco de spear‑phishing.
Limites das informações disponíveis
O relatório técnico da Claroty fornece o caminho de exploração e PoC (incluindo o uso do flag --utility-cmd-prefix), mas não há na matéria métricas públicas sobre número de instalações afetadas ou incidentes observados em campo. A CISA fornece orientação de atualização, o que indica preocupação operacional, mas a extensão geográfica e a presença de exploração ativa em larga escala não foram quantificadas na divulgação.
Setores mais expostos
- Operadores de segurança física e equipes de TI que gerenciam VMS/ICM;
- Indústrias com instalações monitoradas por ICM (fábricas, logística, infraestrutura crítica);
- Entidades governamentais ou militares que usam soluções IDIS, dadas menções da pesquisa.
Recomendação imediata: confirmar presença do ICM Viewer nas estações, aplicar a atualização 1.7.1 indicada pela CISA ou desinstalar o software, e tratar estações como potencialmente comprometidas se foram expostas desde antes do patch.
Fontes: Claroty (pesquisa técnica) e advisory da CISA citado na cobertura.