Um dos elementos dos ataques está no fato de o diretório "system32" ter seu acesso liberado, na configuração default do sistema operacional.
