A Microsoft divulgou uma vulnerabilidade crítica de execução remota de código (RCE) no Microsoft Excel que pode ser explorada através da abertura de um ficheiro Excel malicioso. A falha, identificada como CVE-2025-60727, afeta um conjunto alargado de versões do Microsoft Office e reforça o risco persistente dos ataques baseados em documentos — um dos vetores mais utilizados em campanhas de phishing dirigidas a empresas.
O que é a vulnerabilidade CVE-2025-60727
A vulnerabilidade está classificada como uma leitura fora dos limites de memória (out-of-bounds read, CWE-125) no mecanismo de análise de ficheiros do Microsoft Excel. Quando o Excel processa um ficheiro especialmente construído com valores de comprimento e deslocamento incorretos, a aplicação lê memória além dos limites do buffer alocado. Um atacante que controle essa estrutura pode manipular o fluxo de execução da aplicação e correr código malicioso no contexto do utilizador atual.
A exploração não requer autenticação nem privilégios elevados — apenas que a vítima abra o ficheiro malicioso. Esta característica torna a vulnerabilidade particularmente eficaz em ataques de phishing, onde os atacantes se fazem passar por remetentes legítimos e enviam anexos Excel com aparência de relatórios, faturas ou documentos comerciais.
Produtos afetados
- Microsoft 365 Apps (versões x86 e x64)
- Excel 2016
- Office 2019
- Office LTSC 2021
- Office LTSC 2024
- Office Online Server
A inclusão do Office Online Server na lista de produtos afetados é particularmente relevante: ambientes de renderização do lado do servidor podem igualmente ser vulneráveis, alargando o risco para além dos clientes de desktop. Investigadores da SentinelOne alertam ainda que o painel de pré-visualização do Outlook pode invocar o mesmo código de análise do Excel, expandindo a superfície de ataque sem que o utilizador chegue a abrir o ficheiro.
Como funciona a exploração
O ataque típico começa por email: o atacante envia um ficheiro Excel armadilhado apresentado como um relatório financeiro, fatura ou proposta comercial. Quando a vítima abre o documento, o Excel processa a estrutura malformada — com valores incorretos de comprimento e deslocamento — desencadeando a leitura fora dos limites que permite executar código arbitrário no sistema com os mesmos privilégios do utilizador. A exploração não requer macros ativadas nem qualquer ação adicional além de abrir o ficheiro.
Em ambientes empresariais, a exploração bem-sucedida pode servir como ponto de entrada para movimentação lateral na rede, instalação de malware persistente, exfiltração de dados ou comprometimento total do sistema.
Sinais de comprometimento a monitorizar
- Excel a criar processos filho inesperados (interpretadores de comandos, motores de scripting)
- Ligações de rede de saída iniciadas pelo Excel imediatamente após abertura de um documento
- Relatórios de falha ou violações de acesso à memória relacionadas com o Excel
O que fazer agora
- Aplicar as atualizações de segurança da Microsoft imediatamente em todos os sistemas afetados
- Ativar a Vista Protegida para ficheiros recebidos de fontes externas
- Configurar regras ASR (Attack Surface Reduction) para impedir que aplicações Office criem processos filho
- Bloquear macros e conteúdo externo através de Política de Grupo em ambientes empresariais
- Reforçar a filtragem de email para identificar ficheiros Excel suspeitos na camada de entrada
- Desativar o painel de pré-visualização do Outlook para ficheiros de remetentes desconhecidos
Porque é que isto importa
O Excel é um alvo prioritário para os atacantes pela sua ubiquidade nos ambientes empresariais e pela complexidade do código de análise de ficheiros, que acumula décadas de legado. Os vetores de ataque baseados em documentos Office — combinados com campanhas de phishing — são consistentemente um dos métodos mais eficazes de comprometimento inicial, tanto em Portugal como a nível global.
Para as organizações abrangidas pelo Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, transposição da NIS2), a aplicação atempada de patches é parte integrante das obrigações de gestão de risco. Um incidente resultante de uma vulnerabilidade com patch disponível pode configurar incumprimento das obrigações de diligência exigidas pelo regime.
Esta informação tem carácter noticioso e baseia-se em dados divulgados publicamente pela Microsoft, Cyber Security News, GBHackers e SentinelOne.