A Microsoft liberou correções de segurança para tratar um vasto conjunto de 126 falhas que afetam seus produtos de software, incluindo uma vulnerabilidade que, segundo ela, vem sendo ativamente explorada.
Das 126 vulnerabilidades, 11 são classificadas como Críticas, 112 como Importantes e duas como de Baixa gravidade.
Quarenta e nove dessas vulnerabilidades são classificadas como de escalonamento de privilégios, 34 como execução remota de código, 16 como divulgação de informações e 14 como bugs de negação de serviço (DoS).
As atualizações são adicionais aos 22 defeitos que a empresa corrigiu em seu navegador baseado no Chromium, o Edge, desde o lançamento da atualização do Patch Tuesday do mês passado.
A vulnerabilidade que foi sinalizada como sob ataque ativo é uma falha de elevação de privilégio (EoP) que impacta o Driver do Sistema de Arquivos de Log Comum (CLFS) do Windows (
CVE-2025-29824
, pontuação CVSS: 7.8) que surge de um cenário de uso após liberação, permitindo a um atacante autorizado elevar privilégios localmente.
CVE-2025-29824
é a sexta vulnerabilidade EoP a ser descoberta no mesmo componente que foi explorada no mundo real desde 2022, sendo as outras
CVE-2022-24521
,
CVE-2022-37969
,
CVE-2023-23376
,
CVE-2023-28252
e CVE-2024-49138 (pontuações CVSS: 7.8).
"Na perspectiva de um atacante, a atividade pós-comprometimento requer a obtenção de privilégios necessários para realizar atividades subsequentes em um sistema comprometido, como movimentação lateral", disse Satnam Narang, engenheiro de pesquisa sênior da Tenable.
Portanto, bugs de elevação de privilégio são tipicamente populares em ataques direcionados.
No entanto, falhas de elevação de privilégio em CLFS tornaram-se especialmente populares entre operadores de ransomware ao longo dos anos.
Mike Walters, presidente e co-fundador da Action1, disse que a vulnerabilidade permite a escalada de privilégios para o nível SYSTEM, dando assim ao atacante a capacidade de instalar software malicioso, modificar configurações do sistema, interferir em recursos de segurança, acessar dados sensíveis e manter acesso persistente.
"O que torna esta vulnerabilidade particularmente preocupante é o fato de a Microsoft ter confirmado a exploração ativa dessa vulnerabilidade, e ainda assim, até o momento, não foi liberada uma correção para os sistemas Windows 10 de 32 bits ou 64 bits", disse Ben McCarthy, engenheiro líder de cibersegurança na Immersive.
A falta de uma correção deixa uma lacuna crítica na defesa para uma ampla parte do ecossistema Windows.
Sob certas condições de manipulação de memória, um cenário de uso após liberação pode ser desencadeado, que um atacante pode explorar para executar código no nível mais alto de privilégio no Windows.
Importante, o atacante não precisa de privilégios administrativos para explorar a vulnerabilidade – apenas acesso local é necessário.
A exploração ativa da falha, segundo a Microsoft, foi vinculada a ataques de ransomware contra um pequeno número de alvos.
O desenvolvimento levou a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a adicionar isso ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais apliquem a correção até 29 de abril de 2025.
Algumas das outras vulnerabilidades notáveis corrigidas pela Redmond este mês incluem uma falha de bypass de recurso de segurança (SFB) afetando o Kerberos do Windows (
CVE-2025-29809
), bem como falhas de execução remota de código nos Serviços de Área de Trabalho Remota do Windows (
CVE-2025-27480
,
CVE-2025-27482
) e no Protocolo de Acesso a Diretórios Leve do Windows (
CVE-2025-26663
,
CVE-2025-26670
).
Também merecem destaque múltiplas falhas de execução remota de código de severidade Crítica no Microsoft Office e Excel (
CVE-2025-29791
,
CVE-2025-27749
,
CVE-2025-27748
,
CVE-2025-27745
e
CVE-2025-27752
) que poderiam ser exploradas por um ator mal-intencionado usando um documento do Excel especialmente criado, resultando em controle total do sistema.
Concluindo a lista de falhas Críticas estão duas vulnerabilidades de execução remota de código que afetam o TCP/IP do Windows (
CVE-2025-26686
) e o Windows Hyper-V (
CVE-2025-27491
) que poderiam permitir a um atacante executar código sobre uma rede sob certas condições.
Vale ressaltar que várias das vulnerabilidades ainda não receberam correções para o Windows 10.
A Microsoft disse que as atualizações serão "liberadas o mais rápido possível e, quando estiverem disponíveis, os clientes serão notificados por meio de uma revisão a esta informação de CVE."
Correções de Software de Outros Fornecedores
Além da Microsoft, atualizações de segurança também foram liberadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo:
Adobe, Amazon Web Services, AMD, Apache Parquet, Apple, Arm, ASUS, Bitdefender, Broadcom (incluindo VMware), Canon, Cisco, CrushFTP, Dell, Drupal, F5, Fortinet, GitLab, Google Android, Google Chrome, Google Cloud, Hitachi Energy, HP, HP Enterprise (incluindo Aruba Networking), Huawei, IBM, Ivanti, Jenkins, Juniper Networks, Lenovo, distribuições Linux Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE e Ubuntu, MediaTek, Meta WhatsApp, Minio, Mitel, Mitsubishi Electric, MongoDB, Moxa, Mozilla Firefox, Firefox ESR e Thunderbird, QNAP, Qualcomm, Rockwell Automation, Salesforce, Samsung, SAP, Schneider Electric, Siemens, SonicWall, Sophos, Splunk, Spring Framework, Synology, WordPress, Zoho ManageEngine e Zoom.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...