Na terça-feira, a Microsoft lançou patches para 63 novas vulnerabilidades de segurança em seus softwares, incluindo uma que já está sendo explorada ativamente em ambientes reais.
Dessas falhas, quatro foram classificadas como Critical e 59 como Important, segundo o critério de gravidade.
Vinte e nove vulnerabilidades envolvem privilege escalation, seguidas por 16 relacionadas a remote code execution, 11 de information disclosure, três de denial-of-service (DoS), duas de bypass em recursos de segurança e duas de spoofing.
Essas correções se somam às 27 vulnerabilidades já abordadas pela Microsoft no navegador Edge baseado em Chromium desde a atualização do Patch Tuesday de outubro de 2025.
A vulnerabilidade zero-day explorada, listada na atualização desta terça-feira, é a
CVE-2025-62215
(pontuação CVSS 7.0), uma falha de privilege escalation no Windows Kernel.
A descoberta e o reporte foram realizados pelo Microsoft Threat Intelligence Center (MSTIC) e pelo Microsoft Security Response Center (MSRC).
Segundo a Microsoft, “uma condição de corrida (‘race condition’) envolvendo o uso concorrente de recursos compartilhados sem a sincronização adequada no Windows Kernel permite que um invasor autorizado eleve privilégios localmente”.
Ou seja, o ataque só é bem-sucedido se o atacante já tiver acesso inicial ao sistema e conseguir explorar essa condição de corrida para obter privilégios do tipo SYSTEM.
Ben McCarthy, lead cybersecurity engineer da Immersive, explica que “o invasor com acesso local de baixo privilégio executa um programa especialmente desenvolvido que tenta repetir essa condição de corrida.
O objetivo é provocar uma interação entre múltiplas threads e um recurso compartilhado do kernel, sem sincronização, forçando o kernel a liberar duas vezes a mesma região de memória.
Esse ‘double free’ corrompe o heap do kernel, permitindo ao atacante sobrescrever a memória e assumir o fluxo de execução do sistema.”
Ainda não há detalhes sobre como essa vulnerabilidade está sendo explorada na prática nem quais atores estão envolvidos.
No entanto, especialistas apontam que ela é usada em atividades pós-exploração para escalonamento de privilégios após o acesso inicial — seja por engenharia social, phishing ou exploração de outras vulnerabilidades, segundo Satnam Narang, engenheiro sênior da Tenable.
Mike Walters, presidente e cofundador da Action1, ressalta que “quando combinada com outras falhas, essa condição de corrida no kernel é crítica: uma RCE (remote code execution) ou escape de sandbox pode fornecer a execução local necessária para transformar um ataque remoto em controle total do sistema (SYSTEM).
Um ponto de entrada de baixo privilégio pode, então, ser elevado para permitir dump de credenciais e movimentação lateral.”
Outras vulnerabilidades relevantes corrigidas incluem duas falhas de heap-based buffer overflow no Graphics Component da Microsoft (
CVE-2025-60724
, CVSS 9.8) e no Windows Subsystem for Linux GUI (
CVE-2025-62220
, CVSS 8.8), ambas com potencial para execução remota de código.
Também merece destaque uma falha de privilege escalation de alta gravidade no Windows Kerberos (
CVE-2025-60704
, CVSS 7.5), batizada de CheckSum pela empresa de segurança Silverfort.
A vulnerabilidade explora a ausência de uma etapa criptográfica para obtenção de privilégios administrativos.
De acordo com a Microsoft, “o invasor precisa se posicionar na rota lógica de rede entre o alvo e o recurso solicitado pela vítima para interceptar ou modificar as comunicações”, e um usuário legítimo deve iniciar a conexão.
Os pesquisadores Eliran Partush e Dor Segal, da Silverfort, que descobriram essa falha, a definem como uma vulnerabilidade de Kerberos constrained delegation que permite a um atacante se passar por usuários arbitrários e controlar um domínio inteiro por meio de um ataque adversary-in-the-middle (AitM).
Um invasor que explore essa vulnerabilidade com sucesso pode escalar privilégios, movimentar-se lateralmente pela rede e se passar por qualquer usuário da empresa, obtendo acesso irrestrito ou até mesmo tornando-se administrador do domínio.
“A qualquer organização que utilize Active Directory com delegação Kerberos ativada está vulnerável”, alerta a Silverfort.
“Como a delegação Kerberos é uma funcionalidade do Active Directory, o atacante precisa de acesso inicial com credenciais comprometidas.”
Além da Microsoft, diversas outras empresas lançaram atualizações recentes para corrigir vulnerabilidades em seus produtos.
Entre elas estão Adobe, Amazon Web Services, AMD, Apple, Cisco, Dell, Google, IBM, Intel, Lenovo, Linux (AlmaLinux, Debian, Red Hat, Ubuntu, entre outras distribuições), Mozilla, NVIDIA, Oracle, Palo Alto Networks, Samsung, SAP, Siemens, SolarWinds, SonicWall, VMware e Zoom, entre muitas outras.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...