Se você usa VMware em sua empresa, esse alerta não é exagero. Uma nova falha de segurança foi descoberta e já está sendo usada por criminosos para tomar o controle total de máquinas virtuais. O nome técnico dessa falha é CVE-2025-41244, mas o efeito é simples de entender: alguém sem permissão pode virar “dono” do sistema.
E caros leiores(a) não estamos falando de algo hipotético. Essa brecha já está sendo explorada desde outubro por um grupo de ataques avançado chamado UNC5174.
Quem está em risco
A falha atinge dois componentes comuns em servidores que usam VMware:
- VMware Tools, que é instalado dentro das máquinas virtuais para melhorar o desempenho e o controle
- VMware Aria Operations, uma ferramenta que monitora e analisa como os sistemas estão funcionando
Esses dois softwares permitem que o sistema monitore os serviços que estão rodando dentro da máquina. O problema é que, por um erro no jeito como esse monitoramento é feito, qualquer usuário dentro da máquina pode enganar o sistema e fazer com que ele rode um programa malicioso como se fosse um comando autorizado.
Como o ataque funciona (explicando fácil)
Imagina que o sistema da VMware tem um script automático que vive rodando comandos para checar se determinados serviços estão funcionando (como o Apache ou MySQL, por exemplo).
Esse script tem uma lógica do tipo:
“Procure qualquer programa chamado httpd ou mysqld que esteja rodando, e execute ele com o comando -v para saber qual é a versão”.
Beleza. Só que ele faz isso de forma muito ingênua. Ele aceita qualquer programa com aquele nome, vindo de qualquer lugar do sistema inclusive de pastas onde qualquer um pode colocar arquivos.
Ou seja: um usuário comum pode criar um “falso httpd” dentro da pasta temporária /tmp, deixar esse programa esperando, e o próprio sistema da VMware vai rodá-lo como se fosse legítimo. Só que agora, esse “falso programa” vai rodar com poderes de administrador.
Simples assim. E aí o atacante ganha controle total da máquina.
Por que isso é tão perigoso
Esse tipo de erro parece pequeno, mas tem consequências grandes. Porque:
- Não exige senha extra
- Funciona com qualquer usuário dentro da máquina
- É fácil de repetir, não precisa de truques avançados
- Já está sendo usado por hackers de verdade
O nome técnico para esse tipo de falha é “escalonamento de privilégio”. Na prática: você começa com acesso limitado, mas vira o chefe da máquina.
Como saber se alguém já usou isso contra você
Alguns sinais de que essa falha pode ter sido usada:
- Programas desconhecidos rodando a partir da pasta
/tmp - Arquivos estranhos criados em diretórios temporários
- Comandos “vmtoolsd” ou “aria operation” rodando arquivos que você não reconhece
- Logs do sistema mostrando execução de programas incomuns com opção “-v”
Se você viu qualquer uma dessas coisas, é hora de investigar.
Como se proteger
Agora o mais importante: como evitar esse problema.
- Atualize o VMware Tools e o Aria Operations imediatamente. A fabricante (Broadcom) já soltou um pacote de correções.
- Monitore os processos do seu sistema. Fique de olho em qualquer execução de programas que não venham de pastas confiáveis.
- Reforce a segurança das pastas temporárias. Limite quem pode criar ou executar arquivos nesses lugares.
- Reduza o acesso à rede. Impedir que máquinas comprometidas falem com o mundo externo ajuda a conter o estrago.
O que isso nos ensina
Não é a primeira vez que vemos esse tipo de falha, e com certeza não será a última. A lição aqui é clara: pequenos descuidos em sistemas automatizados podem abrir portas enormes para invasores.
No fim, o que parece um detalhe técnico um script mal escrito vira uma brecha grave de segurança.
