.png)
há 1 semana
3
ANUNCIE AQUI
Uma vulnerabilidade crítica no instalador do Salesforce CLI (sf-x64.exe), identificada como CVE-2025-9844, permite que atacantes executem código arbitrário, escalem privilégios e obtenham acesso em nível SYSTEM em sistemas Windows. O problema decorre do tratamento inadequado de caminhos de executáveis, permitindo o carregamento de arquivos maliciosos no lugar de binários legítimos quando o software é obtido de fontes não confiáveis.
Leia também
Planilha e agenda do Google em comunicação de C2
Gartner: tecnologia preemptiva terá 50% do budget de cyber
O ataque explora um hijacking de caminho: o instalador carrega auxiliares como sf-autoupdate.exe ou sf-config.dll do diretório de execução antes de recorrer ao diretório padrão. Caso um invasor coloque um binário malicioso com o mesmo nome nesse diretório, o instalador executará o código malicioso. Como o processo roda com privilégios elevados, o código injetado pode criar serviços e chaves de registro no contexto LocalSystem, resultando em controle total da máquina.
Testes mostraram que, ao explorar a falha, o instalador carrega o binário falso sf-autoupdate.exe, que cria um serviço de shell reverso sob a conta SYSTEM. O invasor então executa comandos remotamente e obtém saída privilegiada, consolidando a tomada de controle do dispositivo.
Todos os instaladores do Salesforce CLI anteriores à versão 2.106.6 são vulneráveis. O risco é maior para usuários que fazem download do CLI em repositórios de terceiros ou espelhos não oficiais, já que o instalador legítimo do site da Salesforce aplica verificações de assinatura e caminhos absolutos. A falha recebeu CVSS 7.8 (alto).
A Salesforce publicou a versão 2.106.6 que corrige o problema, validando assinaturas digitais e reforçando a resolução de caminhos. Administradores devem garantir instalações apenas a partir do site oficial, habilitar políticas como Microsoft Defender Application Control (MDAC) e monitorar logs de sistema em busca de criação de serviços inesperados.
Portuguese (BR) ·