Em 10 de setembro de 2025, a Palo Alto Networks divulgou detalhes sobre uma vulnerabilidade no User-ID Credential Agent que afeta sistemas Windows. Identificada como CVE-2025-4235, a falha permite que senhas de contas de serviço sejam expostas em texto claro sob certas configurações não padrão.
A falha foi classificada com uma pontuação CVSS de 4.2 (média) e recebeu uma classificação de urgência moderada. Segundo a Palo Alto, a vulnerabilidade está presente em versões anteriores à 11.0.3 do agente.
Detalhes da vulnerabilidade
O User-ID Credential Agent coleta e gerencia credenciais de contas de serviço, permitindo que políticas de firewall sejam vinculadas a usuários do Active Directory. No entanto, em configurações personalizadas, um usuário de domínio com privilégios mínimos pode acessar as credenciais de serviço diretamente nos arquivos ou na memória do agente.
Esse acesso ocorre de forma local, sem necessidade de interação do usuário. O risco se intensifica quando a conta de serviço afetada possui permissões elevadas, como funções de Server Operator ou Domain Join.
Quais os impactos da CVE-2025-4235
A exploração da falha pode gerar diferentes consequências, dependendo do nível de privilégio da conta:
- Em contas com poucos privilégios, é possível desativar ou desinstalar o agente, afetando recursos como filtragem de URLs e prevenção de phishing.
- Em contas com funções elevadas, o atacante pode controlar servidores, reiniciar máquinas, criar objetos maliciosos no domínio ou realizar atividades de reconhecimento na rede.
- Pode haver comprometimento das políticas de segurança de rede, abrindo caminho para movimentações laterais.
Não há relatos de exploração ativa da vulnerabilidade, e a maturidade do exploit ainda não foi avaliada. No entanto, o vetor de ataque local, a baixa complexidade e a ausência de interação do usuário tornam a falha atrativa para atores com acesso físico ou comprometimento prévio do sistema.
Versões afetadas
A Palo Alto esclarece que:
- Versões entre 11.0.0 e 11.0.1-104 não são afetadas.
- Versões anteriores a 11.0.2-133 e versões entre 11.0.2-133 e menos que 11.0.3 estão vulneráveis.
- A falha afeta apenas o agente para Windows.
Ações recomendadas
Para mitigar o risco, a Palo Alto recomenda:
- Atualizar o User-ID Credential Agent para a versão 11.0.3 ou superior no Windows.
- Revisar as permissões das contas de serviço utilizadas pelo agente.
- Aplicar o princípio de mínimos privilégios, garantindo que contas de serviço tenham apenas os acessos necessários.
- Realizar auditoria periódica dos arquivos e processos relacionados ao agente.
Essas medidas eliminam o risco de exposição de senhas em texto claro e reforçam a segurança da integração com o Active Directory.
Certamente a vulnerabilidade CVE-2025-4235 demonstra a importância de manter agentes atualizados e com configurações adequadas.
Embora a falha dependa de um cenário específico para ser explorada, sua correção imediata é essencial para proteger ambientes Windows integrados ao Active Directory via User-ID Credential Agent.
