Resumo: Um proof-of-concept publicado em 1º de julho de 2026 demonstra que o bypass da vulnerabilidade NTLM reflection (CVE-2026-24294) permite que qualquer atacante com credenciais de domínio escale privilégios até NT AUTHORITY\SYSTEM no Windows Server 2025, sem interação do utilizador. A técnica explora portas SMB arbitrárias para contornar a mitigação original da Microsoft. O patch está disponível desde março de 2026, mas o código do exploit agora no GitHub torna o risco imediato para empresas brasileiras que usam Active Directory.

O que aconteceu

Um bypass NTLM com proof-of-concept público divulgado nesta terça-feira (1º de julho) demonstra que a vulnerabilidade NTLM reflection (CVE-2025-33073), agora rastreada como CVE-2026-24294, continua a funcionar em configurações padrão do Windows Server 2025. O resultado: qualquer atacante autenticado na rede pode escalar privilégios até NT AUTHORITY\SYSTEM e executar comandos como administrador total da máquina, sem interação do utilizador.

Elemento Detalhe
Vulnerabilidade original CVE-2025-33073 — NTLM reflection via CMTI
Bypass da mitigação CVE-2026-24294 — portas SMB arbitrárias
CVSS Crítico — escalar para SYSTEM sem interação
Alvos confirmados Windows Server 2025 (SMB signing desativado)
Patch disponível Patch Tuesday de março de 2026
Requisitos do ataque Credenciais de domínio de baixo privilégio

A pesquisa original é da Synacktiv, publicada em abril de 2026. A Microsoft corrigiu o CVE-2026-24294 no Patch Tuesday de março, mas o código-fonte do exploit agora disponível no GitHub torna o ataque reproduzível por qualquer pessoa — incluindo grupos de ransomware que operam no Brasil.

A raiz do problema

Tudo começou com o CVE-2025-33073, descoberto em 2025 por múltiplos pesquisadores. A falha permitia que um atacante com uma conta de domínio de baixo privilégio forçasse o Windows a autenticar-se num servidor controlado pelo atacante e, em seguida, repassasse (relay) essa autenticação de volta para o próprio alvo. Como o Windows considerava a conexão como “local”, o processo SYSTEM (o LSASS) autenticava-se sem verificação de challenge-response, entregando um token de privilégio máximo.

A Microsoft corrigiu o problema no SMB client (mrxsmb.sys), bloqueando conexões cujo nome do destino continha metadados embutidos (a técnica CMTI). O problema é que a correção focou apenas num caminho de protocolo. Ficaram de fora outros mecanismos de coerção de autenticação e funcionalidades do SMB que ainda permitiam o mesmo tipo de reflexão.

A RBT Security detalhou em junho de 2025 como a técnica original funcionava: o atacante registava um registo DNS malicioso no Active Directory, forçava o LSASS a autenticar-se a esse registo, capturava a autenticação NTLM e a repassava para o serviço SMB local, obtendo uma sessão SYSTEM.

O bypass NTLM: portas arbitrárias

A Synacktiv encontrou uma forma de contornar a mitigação da Microsoft sem usar o CMTI. O truque explora uma funcionalidade introduzida no Windows 11 24H2 e no Windows Server 2025 que permite ligações SMB em portas TCP arbitrárias, em vez da porta 445 padrão.

O ataque funciona em duas etapas. Na primeira, o atacante levanta um servidor SMB local numa porta não-convencional (por exemplo, a 12345) e monta um partilha nessa porta com o comando net use \\127.0.0.1\share /tcpport:12345. Isso força o cliente SMB do Windows a estabelecer e manter uma ligação TCP persistente para o servidor malicioso.

Na segunda etapa, o atacante coage um serviço privilegiado — como o próprio LSASS, que corre como SYSTEM — a aceder ao mesmo caminho UNC. O cliente SMB reutiliza a ligação TCP já aberta (multiplexing SMB). Quando o serviço privilegiado autentica, as suas credenciais NTLM são capturadas e repassadas para o verdadeiro serviço SMB do hospedeiro usando o ntlmrelayx do Impacket. O resultado é uma sessão SMB autenticada como SYSTEM.

Server vs Desktop: por que importa

Há uma diferença crítica entre o Windows 11 24H2 e o Windows Server 2025. No Windows 11, o SMB signing é obrigatório por padrão, o que bloqueia ataques de relay no nível de integridade do protocolo. No Windows Server 2025, o SMB signing não é obrigatório — e essa configuração padrão é o que torna o ataque viável sem qualquer modificação extra.

O PoC da Synacktiv usa ferramentas comuns com pequenas modificações: smbserver.py (Impacket) a correr numa porta personalizada, ntlmrelayx para relay, net.exe do próprio Windows para montar a partilha, e um binário PetitPotam modificado para coerção local de serviços.

Impacto para empresas brasileiras

Empresas no Brasil que usam Windows Server 2025 em Active Directory — a esmagadora maioria do mercado corporativo — estão em risco se não aplicaram o Patch Tuesday de março de 2026 ou se o SMB signing não está ativo nos servidores.

O ataque não requer phishing, não exige zero-day e não precisa de exploits complexos. Um utilizador com credenciais de domínio comuns (mesmo um estagiário) pode, em teoria, comprometer qualquer controlador de domínio ou servidor de ficheiros da organização. Para grupos como BlueHammer e os operadores de ransomware que a CISA já confirmou estarem a explorar falhas do Windows, um PoC funcional reduz o esforço de ataque a minutos.

O que fazer agora

A lista de ações defensivas é direta mas urgente:

  • Aplicar o Patch Tuesday de março de 2026 (ou o mais recente acumulado) em todos os servidores Windows Server 2025. O CVE-2026-24294 foi corrigido nesse ciclo.
  • Ativar SMB signing em todos os servidores via GPO. Mesmo com o patch aplicado, o SMB signing bloqueia variantes futuras de relay.
  • Restringir quem pode criar registos DNS no Active Directory. A técnica CMTI original depende dessa permissão. Reduza ao mínimo necessário.
  • Desativar o WebClient/WebDAV nos servidores onde não é necessário. O serviço WebClient é outro vetor de coerção de autenticação NTLM.
  • Monitorizar tráfego SMB em portas não-padrão. Ligações SMB em portas como 12345, 8080 ou outras fora da 445 são um indicador forte de exploração.
  • Rever credenciais expostas se houver suspeita de comprometimento. Um token SYSTEM capturado dá acesso total — rotação de senhas de contas de serviço e chaves é essencial.

A lição estrutural

Este caso expõe um padrão recorrente na segurança do Windows: corrigir um caminho de ataque específico sem fechar a superfície de ataque subjacente. A Microsoft bloqueou o CMTI no mrxsmb.sys, mas deixou intactas as funcionalidades de portas arbitrárias, o multiplexing de ligações e outros mecanismos de coerção de autenticação. Enquanto o NTLM continuar a ser amplamente utilizado e o SMB signing for opcional, novos bypasses vão surgir.

A recomendação de longo prazo é acelerar a migração para Kerberos com channel binding em todas as aplicações e desativar o NTLM em ambientes onde for viável. Enquanto isso, patching rigoroso e monitorização de comportamento anómalo em SMB continuam a ser a primeira linha de defesa.

Leia também

BlueHammer: CISA confirma exploit por ransomware no Windows

Recorde da Microsoft: 206 falhas e 3 zero-days vazados em junho

Squidbleed: falha de 29 anos no Squid Proxy vaza senhas em claro

Referências