Resumo e contexto
Uma vulnerabilidade no agente JumpCloud Remote Assist (CVE-2025-34352) permite que atacantes locais com baixo privilégio escalem para NT AUTHORITY\SYSTEM e provoquem DoS. A descoberta foi reportada pela XM Cyber e corrigida pela JumpCloud na versão 0.317.0 do Remote Assist para Windows.
Descoberta e escopo / O que mudou agora
XM Cyber detalhou que o problema decorre de operações inseguras de arquivo no desinstalador do agente: o componente executa criação, escrita, exclusão e execução de arquivos em %TEMP% sem validação adequada. O agente Remote Assist para Windows roda como SYSTEM em versões anteriores a 0.317.0, o que amplia o impacto de qualquer abuso local do fluxo de desinstalação.
Vetor e exploração / Mitigações
O vetor explora a interação do desinstalador com nomes temporários como %TEMP%~nsuA.tmp e arquivos como Un_A.exe. Atacantes locais podem pré-criar diretórios com permissões fracas e usar links simbólicos ou mount points para redirecionar operações de arquivo (CWE-59) ou aproveitar condições de arquivo temporário (CWE-378). O relatório também descreve técnicas TOCTOU usando oplocks em C:\Config.Msi para obter um shell SYSTEM via Windows Installer.
Para mitigar: atualizar imediatamente para Remote Assist 0.317.0 ou posterior; auditar instalações para agentes que operem em caminhos controlados por usuário; aplicar ACLs restritivas em %TEMP% quando possível; monitorar logs e sinais de execução de desinstaladores e criação/exclusão atípica nesses diretórios. A JumpCloud confirmou a correção após divulgação.
Impacto e alcance / Setores afetados
JumpCloud fornece serviços de diretório e gestão de endpoints para mais de 180.000 organizações. Embora a exploração requeira acesso local, ambientes gerenciados com usuários menos restritos (ex.: terminais de suporte, máquinas compartilhadas ou estações com controle de conta insuficiente) podem ser particularmente vulneráveis. Em grandes empresas, primitives que permitem elevar para SYSTEM abre caminho para persistência e movimentação lateral nos endpoints.
Limites das informações / O que falta saber
O material público descreve vetores locais detalhados e PoC conceituais, mas não há indicação pública consistente de exploração ativa em larga escala antes da correção. Não foi fornecido, nas fontes citadas, um exploit público funcional para ambientes remotos — a exploração documentada exige interação local e condições específicas de arquivos/oploks.
Repercussão / Próximos passos / LGPD
Times de segurança devem priorizar inventário de endpoints com Remote Assist e aplicar a atualização. Ferramentas de EDR/monitoramento de integridade de arquivos e auditoria de criação/exclusão em %TEMP% podem detectar tentativas de abuso. Em organizações brasileiras, ainda que a falha não seja específica ao Brasil, há risco reputacional e potencial obrigação de comunicação sob a LGPD se exploração resultar em comprometimento de dados pessoais; avaliar necessidade de reporte conforme impacto concreto.
Fontes: análise da XM Cyber e comunicado de correção da JumpCloud, conforme cobertura do Cyber Security News.