- O ExpressVPN emitiu uma atualização para corrigir um bug de vazamento do RDP descoberto por um pesquisador independente
- O vazamento no cliente Windows ExpressVPN foi encontrado em abril, em código lançado em março, então sua recente auditoria não poderia ter visto o bug
- O ExpressVPN considera que “a probabilidade de exploração do mundo real foi extremamente baixa”
O aplicativo ExpressVPN Windows Client foi atualizado para corrigir uma vulnerabilidade de vazamentos, descoberta em abril por um pesquisador de segurança independente.
Em um detalhado Postagem do blog Datado de 18 de julho de 2025, o ExpressVPN-considerado uma das melhores VPNs-confirmou o bug do RDP que poderia ter vazado endereços IP reais dos usuários, apesar de afirmar que “a probabilidade de exploração do mundo real era extremamente baixa”.
No entanto, uma correção foi emitida em uma atualização alguns dias depois, o que significa que o bug não deve mais existir e agora não pode ser explorado.
O que é um vazamento de RDP?
O RDP (Protocolo Remote Desktop) permite uma conexão remota de um dispositivo para outro (normalmente PC para PC ou PC para servidor). Quando uma conexão RDP é estabelecida com uma rede privada virtual (VPN) ativada, a expectativa é que os dados viajem pelo túnel VPN criptografado.
Quando os dados não são criptografados e ignoram o túnel, eles são chamados de vazamento. Além do RDP, outros vazamentos de indomamento de criptografia podem ocorrer com VPNs, como vazamentos de DNS.
Com esse bug, a conexão RDP poderia ter sido observada por um ISP (provedor de serviços de Internet) ou qualquer pessoa com acesso à rede. Não apenas o endereço IP de destino não foi criptografado – permitindo que um observador veja que uma conexão com o ExpressVPN estava em execução – mas teria ficado claro que os servidores remotos estavam sendo acessados com o RDP.
O ataque, como demonstrado pelo pesquisador ADAM-X, resultaria na revelação do endereço IP real do usuário, mas não sua atividade de navegação.
O valor de uma VPN é que todos os dados devem ser criptografados entre o dispositivo do usuário e o servidor VPN. Embora seja possível excluir manualmente alguns aplicativos da conexão VPN, isso não aconteceu aqui. Observe, no entanto, que esse foi um bug na versão do Windows do cliente da ExpressVPN Desktop e não afetou outras versões.
A auditoria sem log do ExpressVPN deve ter encontrado o vazamento?
Esta notícia foi anunciada logo depois que a ExpressVPN publicou os detalhes de sua mais recente auditoria de sem log bem-sucedida pela KPGM. O bug deve ter sido detectado na auditoria e os usuários devem ter sido informados mais cedo?
ExpressVPN tem declarado: “O problema foi atribuído a um código de depuração (originalmente destinado a testes internos) que por engano a transformou em construções de produção (versões 12.97 a 12.101.0.2-beta).” Eles também confirmam que o Adam-X relatou o bug em 25 de abril.
A ExpressVPN foi auditada em fevereiro de 2025 e apenas para garantir que sua infraestrutura confiável nunca coleta os registros dos usuários conforme reivindicado.
Enquanto isso, de acordo com UpTodownO repositório das atualizações da versão, a produção do ExpressVPN cria 12.97 a 12.101.0.2-beta foi emitida entre março e maio.
Em suma, a auditoria da KPMG dos servidores da ExpressVPN não poderia ter encontrado o bug – mesmo que tenha sido testado – pois isso não existia na época.
Quantos usuários foram afetados?
A maioria dos usuários normalmente não se conecta a uma VPN antes de estabelecer uma sessão de RDP, por isso é improvável que isso tenha afetado muitos usuários.
O ExpressVPN é usado principalmente por indivíduos, em vez de organizações, portanto a superfície de ataque dessa vulnerabilidade deve ser mínima. Explorar o bug também exigiu que um invasor soubesse e encontrasse uma maneira de direcionar a vítima para um site malicioso.
O provedor da VPN, no entanto, afirmou que está introduzindo mais cheques para encontrar problemas como esse antes da publicação serem divulgados e melhorando os testes automatizados.
A resposta do ExpressVPN ao relatório de bug-apenas cinco dias entre o arquivamento do Adam-X e o primeiro patch-é impressionante. Mas por que demorar tanto para compartilhar as informações publicamente? Bem, é uma questão de segurança.
Você também pode gostar
Deixe um comentário
Você precisa fazer o login para publicar um comentário.
Fique conectado