Especialistas em segurança cibernética da Arctic Wolf identificaram que agentes mal-intencionados estão explorando uma vulnerabilidade grave, classificada como CVE-2025-32975, no Quest KACE Systems Management Appliance (SMA). A falha, que possui uma pontuação CVSS de 10.0, permite que invasores bypassem a autenticação, possibilitando a tomada de controle de contas administrativas sem a necessidade de credenciais válidas.
A atividade maliciosa foi detectada a partir da semana de 9 de março de 2026, envolvendo sistemas SMA não atualizados e expostos à internet. Embora os objetivos finais dos ataques ainda não sejam claros, a exploração bem-sucedida pode resultar no controle total das contas administrativas. A Quest já havia corrigido essa falha em maio de 2025.
Os invasores utilizaram a vulnerabilidade para executar comandos remotamente, baixando cargas úteis codificadas em Base64 de um servidor externo. Além disso, criaram contas administrativas adicionais através do processo “runkbot.exe”, associado ao agente SMA. Modificações no Registro do Windows também foram realizadas via script PowerShell, visando persistência ou alterações na configuração do sistema.
Para mitigar os riscos, é recomendado que administradores atualizem seus sistemas para as versões mais recentes: 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) e 14.1.101 (Patch 4). Além disso, é aconselhável evitar a exposição dos sistemas SMA à internet.
Fonte:https://thehackernews.com/2026/03/hackers-exploit-cve-2025-32975-cvss-100.html
