{"id":23868,"date":"2026-01-15T08:00:00","date_gmt":"2026-01-15T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23868"},"modified":"2026-01-13T11:15:34","modified_gmt":"2026-01-13T14:15:34","slug":"exploracao-de-vulnerabilidades-zero-day-no-vmware","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2026\/01\/exploits\/exploracao-de-vulnerabilidades-zero-day-no-vmware\/","title":{"rendered":"Explora\u00e7\u00e3o de vulnerabilidades Zero-Day no VMware"},"content":{"rendered":"\n<p style=\"text-align: justify;\" data-start=\"321\" data-end=\"444\"><strong data-start=\"323\" data-end=\"444\">Ataques a infraestrutura virtual: A explora\u00e7\u00e3o de vulnerabilidades Zero-Day no VMware por hackers com liga\u00e7\u00e3o \u00e0 China<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"446\" data-end=\"990\">A seguran\u00e7a de ambientes virtualizados tornou-se um dos pilares mais cr\u00edticos na prote\u00e7\u00e3o da infraestrutura corporativa moderna. Plataformas como o <strong data-start=\"594\" data-end=\"609\">VMware ESXi<\/strong> desempenham papel essencial ao permitir que m\u00faltiplos sistemas operacionais e cargas de trabalho compartilhem hardware f\u00edsico de forma eficiente e isolada. Contudo, essa confian\u00e7a est\u00e1 sendo testada por atores de amea\u00e7a sofisticados que exploram vulnerabilidades desconhecidas \u2014 os chamados <strong data-start=\"901\" data-end=\"914\">zero-days<\/strong> \u2014 para comprometer datacenters, ambientes em nuvem e sistemas estrat\u00e9gicos.<\/p>\n<p style=\"text-align: justify;\" data-start=\"992\" data-end=\"1478\">Recentemente, an\u00e1lises de intelig\u00eancia de amea\u00e7as revelaram que <strong data-start=\"1056\" data-end=\"1088\">hackers com v\u00ednculos \u00e0 China<\/strong> v\u00eam explorando ativamente falhas zero-day em produtos VMware para escapar de m\u00e1quinas virtuais (VMs) e comprometer hipervisores, potencialmente colocando toda a infraestrutura em risco. Neste artigo, exploramos detalhadamente o mecanismo dessas explora\u00e7\u00f5es, seus impactos e as li\u00e7\u00f5es que as organiza\u00e7\u00f5es precisam aprender para fortalecer suas defesas.<\/p>\n<p data-start=\"992\" data-end=\"1478\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"1485\" data-end=\"1554\"><strong data-start=\"1488\" data-end=\"1554\">Contexto e import\u00e2ncia da seguran\u00e7a em ambientes virtualizados<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"1556\" data-end=\"2031\">A virtualiza\u00e7\u00e3o transformou a TI empresarial ao consolidar servidores f\u00edsicos em m\u00e1quinas virtuais isoladas e gerenci\u00e1veis. Um componente fundamental dessa arquitetura \u00e9 o <strong data-start=\"1728\" data-end=\"1742\">hipervisor<\/strong>, respons\u00e1vel por abstrair recursos f\u00edsicos, gerenciar VMs e garantir isolamento e seguran\u00e7a entre elas. O VMware ESXi \u00e9 um dos hipervisores mais utilizados globalmente em ambientes corporativos, sendo comum em datacenters, nuvens privadas e h\u00edbridas.<\/p>\n<p style=\"text-align: justify;\" data-start=\"2033\" data-end=\"2501\">Qualquer vulnerabilidade que permita a um invasor sair de uma VM e acessar o hipervisor representa uma amea\u00e7a grave \u2014 afinal, pode permitir controle total sobre todos os demais sistemas que compartilham a mesma infraestrutura. Essas vulnerabilidades desconhecidas at\u00e9 o momento da explora\u00e7\u00e3o s\u00e3o chamadas de <strong data-start=\"2341\" data-end=\"2353\">zero-day<\/strong>, pois n\u00e3o existem corre\u00e7\u00f5es oficiais nem sinais p\u00fablicos de sua exist\u00eancia at\u00e9 serem detectadas em uso ativo.<\/p>\n<p data-start=\"2033\" data-end=\"2501\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"2508\" data-end=\"2585\"><strong data-start=\"2511\" data-end=\"2585\">A explora\u00e7\u00e3o de Zero-Days em VMware ESXi por grupos atribu\u00eddos \u00e0 China<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"2587\" data-end=\"3042\">Pesquisas conduzidas por equipes de resposta a incidentes e empresas de seguran\u00e7a indicam que um grupo de hackers com liga\u00e7\u00f5es \u00e0 China desenvolveu um <strong data-start=\"2737\" data-end=\"2770\">kit de explora\u00e7\u00e3o sofisticado<\/strong> que aproveita v\u00e1rias vulnerabilidades zero-day em ambientes VMware ESXi. As evid\u00eancias sugerem que essas ferramentas podem ter sido criadas <strong data-start=\"2911\" data-end=\"2935\">mais de um ano antes<\/strong> de as falhas serem publicamente divulgadas e corrigidas pela VMware.<\/p>\n<p data-start=\"2587\" data-end=\"3042\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"3044\" data-end=\"3078\"><strong data-start=\"3048\" data-end=\"3078\">1. Vetor de acesso inicial<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"3080\" data-end=\"3463\">O ataque detectado em dezembro de 2025 come\u00e7ou com o comprometimento de um <strong data-start=\"3155\" data-end=\"3182\">appliance SonicWall VPN<\/strong>, que serviu como ponto de entrada para a rede alvo. A partir desse acesso inicial, os invasores puderam movimentar-se lateralmente at\u00e9 obter credenciais administrativas e implantar o kit de explora\u00e7\u00e3o diretamente no ambiente de virtualiza\u00e7\u00e3o.<\/p>\n<p data-start=\"3080\" data-end=\"3463\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"3465\" data-end=\"3512\"><strong data-start=\"3469\" data-end=\"3512\">2. Vulnerabilidades Zero-Day exploradas<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"3514\" data-end=\"3672\">As falhas exploradas \u2014 identificadas como <strong data-start=\"3556\" data-end=\"3574\">CVE-2025-22224<\/strong>, <strong data-start=\"3576\" data-end=\"3594\">CVE-2025-22225<\/strong> e <strong data-start=\"3597\" data-end=\"3615\">CVE-2025-22226<\/strong> \u2014 afetam diferentes componentes cr\u00edticos do VMware ESXi:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"3674\" data-end=\"4120\">\n<li data-start=\"3674\" data-end=\"3839\">\n<p data-start=\"3676\" data-end=\"3839\"><strong data-start=\"3676\" data-end=\"3695\">CVE-2025-22224:<\/strong> Uma vulnerabilidade cr\u00edtica que permite escrita fora do limite (out-of-bounds), possibilitando execu\u00e7\u00e3o de c\u00f3digo arbitr\u00e1rio no processo VMX.<\/p>\n<\/li>\n<li data-start=\"3840\" data-end=\"3973\">\n<p data-start=\"3842\" data-end=\"3973\"><strong data-start=\"3842\" data-end=\"3861\">CVE-2025-22225:<\/strong> Uma defici\u00eancia que possibilita a escrita arbitr\u00e1ria de mem\u00f3ria, permitindo escapar da sandbox do hipervisor.<\/p>\n<\/li>\n<li data-start=\"3974\" data-end=\"4120\">\n<p data-start=\"3976\" data-end=\"4120\"><strong data-start=\"3976\" data-end=\"3995\">CVE-2025-22226:<\/strong> Uma falha de leitura fora dos limites que pode vazar informa\u00e7\u00f5es sens\u00edveis da mem\u00f3ria.<\/p>\n<\/li>\n<\/ul>\n<p style=\"text-align: justify;\" data-start=\"4122\" data-end=\"4381\">Essas tr\u00eas falhas, quando combinadas, permitem que um invasor <strong data-start=\"4184\" data-end=\"4225\">escape da m\u00e1quina virtual (VM escape)<\/strong> e execute c\u00f3digo diretamente no hipervisor ESXi, efetivamente comprometendo todo o host e todas as VMs nele contidas.<\/p>\n<p data-start=\"4122\" data-end=\"4381\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"4383\" data-end=\"4430\"><strong data-start=\"4387\" data-end=\"4430\">3. T\u00e9cnica de explora\u00e7\u00e3o e persist\u00eancia<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"4432\" data-end=\"4878\">O kit de explora\u00e7\u00e3o inclui v\u00e1rios componentes que, em conjunto, permitem n\u00e3o apenas a invas\u00e3o inicial, mas tamb\u00e9m a <strong data-start=\"4548\" data-end=\"4603\">persist\u00eancia e o controle persistente do hipervisor<\/strong>. Utilizando m\u00f3dulos que desativam componentes leg\u00edtimos da VMware e injetam c\u00f3digo malicioso diretamente na mem\u00f3ria do hipervisor, os invasores conseguem estabelecer canais de controle remoto e manter acesso mesmo ap\u00f3s reinicializa\u00e7\u00f5es.<\/p>\n<p style=\"text-align: justify;\" data-start=\"4880\" data-end=\"5210\">Uma das ferramentas inclu\u00eddas nesse kit \u2014 apelidada de <strong data-start=\"4935\" data-end=\"4950\">VSOCKpuppet<\/strong> \u2014 permite comunica\u00e7\u00e3o bidirecional entre uma m\u00e1quina convidada (VM) e o hipervisor, criando uma <strong data-start=\"5047\" data-end=\"5071\">backdoor persistente<\/strong> que pode ser usada para transferir comandos ou dados sem passar por mecanismos tradicionais de rede.<\/p>\n<p data-start=\"4880\" data-end=\"5210\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"5217\" data-end=\"5284\"><strong data-start=\"5220\" data-end=\"5284\">Impactos potenciais em ambientes corporativos e estrat\u00e9gicos<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"5286\" data-end=\"5346\">A explora\u00e7\u00e3o dessas vulnerabilidades tem impactos profundos:<\/p>\n<p style=\"text-align: justify;\" data-start=\"5348\" data-end=\"5395\"><strong data-start=\"5352\" data-end=\"5395\">\u2022 Perda total de controle do hipervisor<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"5396\" data-end=\"5695\">Quando um invasor consegue escapar da m\u00e1quina virtual e comprometer o hipervisor, ele obt\u00e9m controle de n\u00edvel root do ambiente de virtualiza\u00e7\u00e3o. Isso significa que todas as VMs, sistemas operacionais e dados nele hospedados ficam sob controle total do atacante.<\/p>\n<p style=\"text-align: justify;\" data-start=\"5697\" data-end=\"5755\"><strong data-start=\"5701\" data-end=\"5755\">\u2022 Potencial de movimenta\u00e7\u00e3o lateral e persist\u00eancia<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"5756\" data-end=\"6001\">Com acesso ao hipervisor, um invasor pode estabelecer mecanismos robustos de persist\u00eancia, acessar redes internas e realizar movimentos laterais sem ser detectado por ferramentas tradicionais de seguran\u00e7a.<\/p>\n<p style=\"text-align: justify;\" data-start=\"6003\" data-end=\"6045\"><strong data-start=\"6007\" data-end=\"6045\">\u2022 Risco de exfiltra\u00e7\u00e3o e sabotagem<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"6046\" data-end=\"6392\">Ambientes virtualizados normalmente hospedam aplica\u00e7\u00f5es cr\u00edticas, bancos de dados sens\u00edveis e cargas de trabalho essenciais. Um invasor pode n\u00e3o apenas roubar informa\u00e7\u00f5es confidenciais, mas tamb\u00e9m causar interrup\u00e7\u00f5es significativas, sabotagem intencional ou at\u00e9 mesmo implantar ransomware em grande escala.<\/p>\n<p data-start=\"6046\" data-end=\"6392\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"6399\" data-end=\"6452\"><strong data-start=\"6402\" data-end=\"6452\">Li\u00e7\u00f5es aprendidas e boas pr\u00e1ticas de mitiga\u00e7\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"6454\" data-end=\"6571\">Diante desse tipo de amea\u00e7a avan\u00e7ada, organiza\u00e7\u00f5es devem refor\u00e7ar sua postura de seguran\u00e7a com as seguintes pr\u00e1ticas:<\/p>\n<p style=\"text-align: justify;\" data-start=\"6573\" data-end=\"6615\"><strong data-start=\"6577\" data-end=\"6615\">1. Atualiza\u00e7\u00e3o e patching imediato<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"6616\" data-end=\"6851\">Garantir que todos os hosts VMware ESXi estejam atualizados com os patches fornecidos pela VMware \u00e9 fundamental. Vulnerabilidades zero-day tornam-se menos perigosas quando corrigidas rapidamente.<\/p>\n<p data-start=\"6616\" data-end=\"6851\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"6853\" data-end=\"6906\"><strong data-start=\"6857\" data-end=\"6906\">2. Fortalecimento de dispositivos perimetrais<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"6907\" data-end=\"7188\">A investiga\u00e7\u00e3o mostrou que a explora\u00e7\u00e3o inicial ocorreu via um appliance VPN comprometido. Portanto, <strong data-start=\"7008\" data-end=\"7054\">seguran\u00e7a de dispositivos de acesso remoto<\/strong> \u2014 como VPNs \u2014 deve ser um foco priorit\u00e1rio de monitoramento, prote\u00e7\u00e3o e atualiza\u00e7\u00e3o cont\u00ednua.<\/p>\n<p data-start=\"6907\" data-end=\"7188\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"7190\" data-end=\"7236\"><strong data-start=\"7194\" data-end=\"7236\">3. Monitoramento avan\u00e7ado e telemetria<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"7237\" data-end=\"7467\">Ambientes virtualizados requerem solu\u00e7\u00f5es de monitoramento capazes de identificar atividades an\u00f4malas a n\u00edvel de hipervisor, como escapes de VM ou acesso n\u00e3o autorizado aos componentes ESXi.<\/p>\n<p data-start=\"7237\" data-end=\"7467\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"7469\" data-end=\"7513\"><strong data-start=\"7473\" data-end=\"7513\">4. Segmenta\u00e7\u00e3o e privil\u00e9gios m\u00ednimos<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"7514\" data-end=\"7744\">Aplicar pol\u00edticas de segmenta\u00e7\u00e3o de rede e de privil\u00e9gios m\u00ednimos ajuda a limitar a superf\u00edcie de ataque e o impacto de compromissos, isolando ambientes cr\u00edticos de sistemas menos sens\u00edveis.<\/p>\n<p style=\"text-align: justify;\" data-start=\"7514\" data-end=\"7744\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"8264\" data-end=\"8280\"><strong data-start=\"8267\" data-end=\"8280\">Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"8282\" data-end=\"8799\">A explora\u00e7\u00e3o de vulnerabilidades zero-day em plataformas cr\u00edticas como o VMware ESXi por hackers ligados \u00e0 China evidencia a sofistica\u00e7\u00e3o e o alcance das campanhas contempor\u00e2neas de cibercrime e ciberespionagem. Ao usar vetores de acesso inesperados \u2014 como dispositivos VPN comprometidos \u2014 e ao desenvolver explora\u00e7\u00f5es antes mesmo de a comunidade de seguran\u00e7a ter conhecimento das falhas, esses atores mostram um n\u00edvel de preparo que desafia as pr\u00e1ticas tradicionais de defesa.<\/p>\n<p style=\"text-align: justify;\" data-start=\"8801\" data-end=\"9381\">Para mitigar esse tipo de amea\u00e7a, n\u00e3o \u00e9 suficiente aplicar atualiza\u00e7\u00f5es reativas; \u00e9 necess\u00e1rio construir estrat\u00e9gias de defesa que incluam <strong data-start=\"8940\" data-end=\"9053\">visibilidade cont\u00ednua, monitoramento profundo, pol\u00edticas de privil\u00e9gio m\u00ednimo e respostas r\u00e1pidas a anomalias<\/strong>. A virtualiza\u00e7\u00e3o continuar\u00e1 sendo a espinha dorsal de muitas opera\u00e7\u00f5es tecnol\u00f3gicas modernas, e proteger esses ambientes \u00e9 uma prioridade absoluta para CISOs, equipes de seguran\u00e7a e l\u00edderes de tecnologia que desejam antecipar e neutralizar ataques antes que causas irrevers\u00edveis ocorram.<\/p>\n<p data-start=\"8801\" data-end=\"9381\">\u00a0<\/p>\n<p data-start=\"7751\" data-end=\"7784\"><strong data-start=\"7754\" data-end=\"7784\">Refer\u00eancias Bibliogr\u00e1ficas<\/strong><\/p>\n<ul data-start=\"7786\" data-end=\"8257\">\n<li data-start=\"7786\" data-end=\"8001\">\n<p data-start=\"7789\" data-end=\"8001\"><em data-start=\"7789\" data-end=\"7883\"><strong>The Register<\/strong> \u2013 China-linked cybercrims abused VMware ESXi zero-days a year before disclosure<\/em>. Dispon\u00edvel em: <a class=\"decorated-link\" href=\"https:\/\/www.theregister.com\/2026\/01\/09\/china_esxi_zerodays\/?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\" data-start=\"7900\" data-end=\"7959\">https:\/\/www.theregister.com\/2026\/01\/09\/china_esxi_zerodays\/<\/a><\/p>\n<\/li>\n<li data-start=\"8002\" data-end=\"8257\">\n<p data-start=\"8005\" data-end=\"8257\"><em data-start=\"8005\" data-end=\"8089\"><strong>BleepingComputer<\/strong> \u2013 VMware ESXi zero-days likely exploited a year before disclosure<\/em>. Dispon\u00edvel em: <a class=\"decorated-link\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/vmware-esxi-zero-days-likely-exploited-a-year-before-disclosure\/?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\" data-start=\"8106\" data-end=\"8217\">https:\/\/www.bleepingcomputer.com\/news\/security\/vmware-esxi-zero-days-likely-exploited-a-year-before-disclosure\/<\/a><\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p data-start=\"8801\" data-end=\"9381\">\u00a0<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Ataques a infraestrutura virtual: A explora\u00e7\u00e3o de vulnerabilidades Zero-Day no VMware por hackers com liga\u00e7\u00e3o \u00e0 China A seguran\u00e7a de ambientes virtualizados tornou-se um dos pilares mais cr\u00edticos na prote\u00e7\u00e3o da infraestrutura corporativa moderna. Plataformas como o VMware ESXi desempenham papel essencial ao permitir que m\u00faltiplos sistemas operacionais e cargas de trabalho compartilhem hardware f\u00edsico [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":23871,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-23868","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23868","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=23868"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23868\/revisions"}],"predecessor-version":[{"id":23873,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23868\/revisions\/23873"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/23871"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=23868"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=23868"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=23868"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}