Na última terça-feira, a Microsoft publicou correções para impressionantes 183 falhas de segurança em seus produtos, incluindo três vulnerabilidades que já vêm sendo exploradas ativamente em ataques no mundo real.
A atualização foi liberada no mesmo dia em que a empresa encerrou oficialmente o suporte ao Windows 10, exceto para computadores inscritos no programa Extended Security Updates (ESU).
Das 183 vulnerabilidades corrigidas, oito são CVEs emitidas por terceiros, enquanto as demais são da própria Microsoft.
A maioria (165) foi classificada como de gravidade Important, 17 como Critical e uma como Moderate.
A maior parte dessas falhas está relacionada à elevação de privilégio (84 casos), seguida por execução remota de código (33), vazamento de informações (28), spoofing (14), negação de serviço (11) e bypass de recursos de segurança (11).
Essas atualizações somam-se às 25 vulnerabilidades recentemente corrigidas no navegador Edge, baseado no Chromium, desde o Patch Tuesday de setembro de 2025.
Destaque para as duas zero-days do Windows que já estão sendo exploradas:
-
CVE-2025-24990
(CVSS 7.8): vulnerabilidade de elevação de privilégio no driver Agere Modem ("ltmdm64.sys").
-
CVE-2025-59230
(CVSS 7.8): vulnerabilidade de elevação de privilégio no Windows Remote Access Connection Manager (RasMan).
A Microsoft alertou que ambas as falhas podem permitir a execução de código com privilégios elevados.
Embora não haja informações detalhadas sobre o modus operandi ou alcance dos ataques, a empresa planeja eliminar completamente o driver Agere, em vez de lançar um patch para esse componente legado de terceiros.
Alex Vovk, CEO da Action1, classificou a primeira vulnerabilidade como “perigosa” por estar enraizada em um código legado presente por padrão em todos os sistemas Windows, independentemente do hardware utilizado.
Adam Barnett, engenheiro sênior da Rapid7, ressalta que mesmo se o modem da máquina utilizar outro chipset ou se o usuário não fizer uso de fax, o Windows permanece vulnerável — e qualquer atacante local com conta de privilégio mínimo pode elevar seus direitos a administrador.
Quanto ao
CVE-2025-59230
, Satnam Narang, engenheiro sênior da Tenable, afirmou que esta é a primeira vulnerabilidade do RasMan a ser explorada como zero-day, embora mais de 20 falhas tenham sido corrigidas nesse componente desde janeiro de 2022.
A terceira vulnerabilidade explorada em ataques reais refere-se a um bypass no Secure Boot do IGEL OS anterior à versão 11 (
CVE-2025-47827
, CVSS 4.6).
O pesquisador Zack Didcott divulgou detalhes da falha publicamente em junho de 2025.
Segundo Kev Breen, diretor de pesquisa em ameaças da Immersive, esse tipo de bypass pode permitir a instalação de rootkits em nível de kernel, comprometendo o sistema e virtual desktops, inclusive possibilitando a captura de credenciais.
Porém, trata-se de um ataque que exige acesso físico ao equipamento, típico de ataques do tipo “evil maid”, comuns em situações de funcionários que viajam com frequência.
As três vulnerabilidades foram incluídas no catálogo Known Exploited Vulnerabilities (KEV) da agência americana CISA, que determina que órgãos federais apliquem os patches até 4 de novembro de 2025.
Outros destaques críticos incluem uma falha de execução remota de código (RCE) no Windows Server Update Service (WSUS) –
CVE-2025-59287
(CVSS 9.8); uma vulnerabilidade de leitura fora dos limites no Trusted Computing Group TPM 2.0 (
CVE-2025-2884
, CVSS 5.3); e um RCE no Windows URL Parsing (
CVE-2025-59295
, CVSS 8.8).
Ben McCarthy, engenheiro de segurança sênior da Immersive, explica que o bug no URL Parsing pode ser explorado por meio de URLs maliciosas que causam overflow, corrompendo ponteiros de funções na memória.
Essa corrupção permite redirecionar a execução para um código arbitrário controlado pelo atacante.
As duas falhas com maior pontuação CVSS deste ciclo são: um bug de escalonamento de privilégios no Microsoft Graphics Component (
CVE-2025-49708
, CVSS 9.9) e um bypass de segurança no ASP.NET (
CVE-2025-55315
, CVSS 9.9).
Embora a exploração do
CVE-2025-55315
exija autenticação prévia, ela permite contornar controles de segurança ao embutir uma requisição HTTP maliciosa dentro de uma legítima, possibilitando ações maliciosas de forma velada.
McCarthy reforça que a falha
CVE-2025-49708
é crítica porque quebra o isolamento de máquinas virtuais (VMs), permitindo que um atacante com acesso limitado a uma VM não crítica escape para o sistema host com privilégios SYSTEM.
Isso coloca em risco todas as outras VMs hospedadas no mesmo servidor, incluindo controladores de domínio, bancos de dados e aplicações essenciais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...