Observando o cenário de cibersegurança de forma mais ampla, é possível constatar que os criminosos contam com diversas estratégias para invadir ambientes e que, entre as principais, destaca-se a exploração de vulnerabilidades.
Neste artigo, destacamos quais foram as vulnerabilidades mais detectadas e utilizadas por cibercriminosos para tentar comprometer usuários e empresas no Brasil, nos quatro primeiros meses de 2025, para que usuários e organizações saibam como se proteger. Também explicamos quais seriam as possíveis consequências caso essas falhas fossem exploradas com sucesso, e por que brechas tão antigas ainda continuam sendo ativamente utilizadas em ataques.
Exploração de vulnerabilidades: uma das formas mais comuns de acesso a sistemas
Uma vulnerabilidade é uma falha em um software que pode ser explorada por um atacante para acessar sistemas ou dispositivos de um usuário ou empresa. A exploração de vulnerabilidades é uma das técnicas mais utilizadas por cibercriminosos para obter acesso inicial aos sistemas de empresas e organizações. Segundo o relatório 2025 Data Breach Investigations Report (DBIR), da Verizon, a exploração de vulnerabilidades cresceu 34% como vetor de acesso inicial a nível global, resultando em vazamentos de dados e estando relacionado a 20% de todos os acessos indevidos a sistemas.
Por sua vez, o relatório M-Trends 2024, da Mandiant, afirma que a exploração de vulnerabilidades foi o vetor de infecção inicial mais frequentemente observado pelo quinto ano consecutivo, sendo responsável por 33% das intrusões nas quais foi possível identificar o vetor de acesso inicial.
No contexto geral, a técnica T1133 tem sido amplamente utilizada porque, dependendo da vulnerabilidade, permite que criminosos consigam acesso privilegiado ao ambiente sem que precisem interagir com pessoas. Sabendo da importância que as vulnerabilidades têm para os cibercriminosos, é fundamental entender quais são as mais exploradas por eles. Esse conhecimento ajuda a priorizar os esforços de mitigação, orientando melhor as ações de proteção e correção no ambiente corporativo.
Os exploits: a chave para explorar vulnerabilidades
É importante destacar que, para explorar uma vulnerabilidade, os cibercriminosos utilizam exploits. Trata-se de códigos maliciosos ou técnicas específicas que funcionam como uma chave capaz de ativar a falha e permitir que os cibercriminosos coloquem o "pé na porta" da rede de uma empresa ou organização, realizando ações maliciosas, como obter credenciais, coletar informações ou instalar malwares.
No entanto, para que os criminosos consigam explorar ativamente uma vulnerabilidade, normalmente é necessário que um exploit tenha sido desenvolvido previamente. O problema é que o número de vulnerabilidades relatadas não para de crescer a cada ano, e os cibercriminosos estão cada vez mais rápidos na criação de exploits para novas falhas assim que são divulgadas.
Por isso, para se proteger, é fundamental que usuários e empresas mantenham seus sistemas atualizados, aplicando os patches que corrigem essas falhas assim que forem disponibilizados.
As 5 vulnerabilidades mais detectadas no Brasil em 2025 (até agora)
Segundo os dados de detecção da telemetria da ESET, os exploits mais detectados no Brasil em 2025 (até agora) correspondem a vulnerabilidades antíguas. Algumas delas ainda são utilizadas em campanhas que buscam distribuir malware.
Para entendermos quais as melhores possibilidades de tratamento para cada uma das vulnerabilidades trago uma breve descrição sobre cada uma delas.
Tabela de Vulnerabilidades CVE
| CVE | Nome da Ameaça | Severidade | Tipo | Softwares Afetados | Descrição |
|---|---|---|---|---|---|
| CVE-2012-0143 | Win32/Exploit.CVE-2012-0143.A | 9.3 | RCE | Excel 2003, Office 2008 for Mac | Explora falha de corrupção de memória ao abrir arquivos. Permite execução remota de comandos por meio de arquivos compostos maliciosos. |
| CVE-2012-0159 | Win32/Exploit.CVE-2012-0159.A | 9.3 | RCE | XP SP2, Server 2003 SP2, Vista SP2, Server 2008 SP2, R2 e R2 SP1, 7 Gold e SP1, Office 2003 SP3, 2010 Gold e SP1 | Vulnerabilidade na gestão de fontes TrueType. Permite execução remota de código ao manipular fontes maliciosas. |
| CVE-2010-2568 | LNK/Exploit.CVE-2010-2568%ScriptAlg | 9.3 | RCE | Windows XP SP3, Server 2003 SP2, Vista SP1 e SP2, Server 2008 SP2 e R2, Windows 7 | Explora arquivos .LNK e .PIF maliciosos. Falha no Windows Explorer permite execução remota de comandos. |
| CVE-2013-1331 | Win32/Exploit.CVE-2013-1331 | 9.3 | RCE | Office 2003 SP3, Office 2011 for Mac | Explora um buffer overflow causado por arquivos PNG maliciosos. Permite execução remota de código no Microsoft Office. |
| CVE-2017-11882 | Win32/Exploit.CVE-2017-11882.BOR%ScriptAlg | 9.3 | RCE | Office 2007 SP3, Office 2010 SP2, Office 2013 SP1, Office 2016 | Erro na manipulação de objetos na memória. Permite execução remota de comandos. Muito usada em campanhas maliciosas. |
Essas são as vulnerabilidades mais utilizadas por cibercriminosos em ataques direcionados a empresas no Brasil? Nem sempre. Ao analisar os dados, observamos que muitas dessas detecções estão relacionadas a arquivos antigos comprometidos, armazenados em unidades removíveis ou cópias de backup, mas que não foram necessariamente detectados por tecnologias antimalware em razão de ataques ou downloads maliciosos recentes.
Por outro lado, há casos em que essas detecções de fato correspondem a exploits que continuam sendo amplamente utilizados em campanhas maliciosas, com o objetivo de infectar sistemas por meio de e-mails, cracks de software ou outros tipos de downloads piratas.
Objetivo dos ataques que exploram essas vulnerabilidades
No caso da CVE-2017-11882vv, por exemplo, essa vulnerabilidade no Microsoft Office continua sendo explorada em campanhas no Brasil, na América Latina e também em nível global. Durante 2024 e 2025, observamos diversos exemplos de campanhas distribuídas por meio de e-mails falsos direcionados a empresas, com documentos maliciosos em anexo que contêm o exploit.
Essas campanhas têm como objetivo infectar os dispositivos com malwares do tipo infostealer, como o AgentTesla, além de outros tipos de trojans de acesso remoto (RATs). Esse tipo de malware é voltado para o roubo de credenciais, informações sensíveis e, em muitos casos, para a instalação de outras ameaças.
Em vários casos, os e-mails maliciosos partem de contas de empresas legítimas que foram previamente comprometidas e estão sendo usadas pelos atacantes para enviar mensagens com malware, disfarçando-se como remetentes confiáveis.
Por que vulnerabilidades antigas ainda são exploradas por cibercriminosos
Embora, como já mencionamos, nem todas as detecções de exploits para vulnerabilidades antigas estejam ligadas a ataques reais, muitas delas sim estão. Isso significa que essas falhas ainda são eficazes nos dias de hoje, caso contrário, os criminosos não as utilizariam.
Essas vulnerabilidades continuam sendo lucrativas porque muitas pessoas e empresas ainda utilizam tecnologias antigas e desatualizadas, para as quais já não existe suporte. Isso pode ocorrer por falta de orçamento, uso de software pirata, desconhecimento ou uma combinação desses e outros fatores.
Além disso, esse cenário revela como o ecossistema do cibercrime é diverso. Existem grupos com recursos financeiros para adquirir exploits mais recentes, inclusive para vulnerabilidades ainda sem correção disponível (conhecidas como zero-day). Por outro lado, cibercriminosos menos sofisticados continuam explorando vulnerabilidades antigas, enquanto elas permanecerem lucrativas e encontrarem sistemas desprotegidos.
O que acontece com as vulnerabilidades mais recentes?
É importante dizer que, mesmo que as vulnerabilidades mais vistas sejam mais antigas, é necessário levar em consideração as novas vulnerabilidades que são descobertas. A quantidade de vulnerabilidades reportadas vem batendo recorde a cada ano e só nos primeiros meses de 2025 já chegam a mais de 18.000 segundo o CVE Details.
Navegadores como o Chrome e o Firefox estão entre os tipos de aplicações com maior número de vulnerabilidades relatadas a cada ano — assim como os sistemas operacionais, como o Windows, aplicações da Microsoft, soluções de VPN, sistemas de gerenciamento de conteúdo (CMS), entre muitos outros.
Os ataques com exploits que exploram vulnerabilidades mais recentes tendem, naturalmente, a apresentar um número menor de detecções — mas isso não significa que não estejam sendo utilizados por cibercriminosos. As vulnerabilidades mais detectadas geralmente estão ligadas a tecnologias amplamente utilizadas, como o Windows.
No entanto, também existem muitas vulnerabilidades novas sendo ativamente exploradas, mas que estão relacionadas a tecnologias menos populares ou mais específicas. Os exploits voltados para essas falhas mais recentes tendem a ser menos disseminados do que os utilizados para explorar vulnerabilidades antigas.
Como se proteger
1. Política de atualização de softwares
Não basta apenas ter a política, é necessário garantir que ela seja implementada e que abranja todos os softwares e dispositivos presentes na rede. Atualizar os softwares, além de trazer novas funcionalidades, garante que todas as vulnerabilidades já identificadas pelos fabricantes sejam corrigidas.
Leia mais: Como criar uma política de segurança digital eficaz para a sua empresa?
2. Gestão adequada de acessos
Essa recomendação vale tanto para pessoas quanto para serviços. É interessante limitar os privilégios dos usuários para o mínimo possível, apenas assegurando que eles consigam exercer as atividades previstas aos respectivos cargos, ou que consigam manipular adequadamente todas as necessidades demandadas pelo serviço. A limitação de recursos ajuda a garantir que, caso o usuário seja comprometido, o cibercriminoso tenha um raio de ação bastante limitado.
Leia mais: Princípio do menor privilégio: a estratégia de limitar o acesso ao que é essencial
3. Treinamento de conscientização de segurança
Mesmo que as vulnerabilidades mais buscadas pelos criminosos interajam diretamente com os ou Sistemas Operacionais, muitas delas afetam softwares internos, sendo necessário uma breve interação humana antes do comprometimento do ambiente, por isso é importante não negligenciar a necessidade de conscientização e treinamentos de segurança para todos os colaboradores, a fim de evitar a abertura de arquivos potencialmente perigosos.
4. Softwares de proteção em todos os dispositivos que comportem a instalação
É altamente recomendado que todos os equipamentos possuam um software de proteção de endpoint instalado, atualizado e configurado para barrar ameaças. Softwares dedicados à segurança ajudam a impedir que vulnerabilidades ainda desconhecidas pelo fabricante sejam exploradas graças aos diversos mecanismos de detecção e heurística que possuem.
