Ontem foi a Terça-feira de Patches de Junho de 2025 da Microsoft, que inclui atualizações de segurança para 66 falhas, sendo uma vulnerabilidade ativamente explorada e outra que foi divulgada publicamente.
Este Patch Tuesday também corrigiu dez vulnerabilidades "Críticas", sendo oito vulnerabilidades de execução remota de código e duas de elevação de privilégios.
O número de bugs em cada categoria de vulnerabilidade está listado abaixo:
- 13 Vulnerabilidades de Elevação de Privilégio
- 3 Vulnerabilidades de Desvio de Funcionalidade de Segurança
- 25 Vulnerabilidades de Execução Remota de Código
- 17 Vulnerabilidades de Divulgação de Informação
- 6 Vulnerabilidades de Negação de Serviço
- 2 Vulnerabilidades de Spoofing
Esta contagem não inclui falhas no Mariner, Microsoft Edge e Power Automate corrigidas anteriormente neste mês.
Para saber mais sobre as atualizações não relacionadas à segurança lançadas hoje, você pode revisar nossos artigos dedicados sobre as atualizações cumulativas do Windows 11 KB5060842 e KB5060999 e a atualização cumulativa do Windows 10 KB5060533.
O Patch Tuesday deste mês corrige uma zero-day ativamente explorada e uma vulnerabilidade divulgada publicamente.
A Microsoft classifica uma falha zero-day como divulgada publicamente ou ativamente explorada enquanto não há correção oficial disponível.
A vulnerabilidade zero-day ativamente explorada nas atualizações de hoje é:
CVE-2025-33053
- Vulnerabilidade de Execução Remota de Código Web Distributed Authoring and Versioning (WEBDAV)
A Microsoft corrigiu uma vulnerabilidade de execução remota de código descoberta pela Check Point Research
"Existe uma vulnerabilidade de execução remota de código no Microsoft Windows Web Distributed Authoring and Versioning.
A exploração bem-sucedida desta vulnerabilidade poderia permitir que um atacante remoto executasse código arbitrário no sistema afetado," lê-se em um aviso da Check Point Research.
O aviso da Microsoft afirma ainda que um usuário deve clicar em uma URL WebDav especialmente criada para que a falha seja explorada.
Um novo relatório da Check Point Research explica que o
CVE-2025-33053
foi explorado em ataques zero-day por um grupo APT chamado "Stealth Falcon".
"Em março de 2025, a Check Point Research identificou uma tentativa de ataque cibernético contra uma empresa de defesa na Turquia," explicou a Check Point.
"Os atores da ameaça usaram uma técnica anteriormente não divulgada para executar arquivos hospedados em um servidor WebDAV que controlavam, manipulando o diretório de trabalho de uma ferramenta Windows legítima embutida."
Após a divulgação responsável, a Microsoft atribuiu a vulnerabilidade
CVE-2025-33053
e lançou uma correção em 10 de junho de 2025, como parte de suas atualizações de Terça-feira de Patches de Junho.
A Microsoft atribui a descoberta desta falha a Alexandra Gofman e David Driker (Check Point Research).
A zero-day divulgada publicamente é:
CVE-2025-33073
- Vulnerabilidade de Elevação de Privilégio do Cliente Windows SMB
A Microsoft corrigi uma falha no Windows SMB que permite aos atacantes ganhar privilégios de SYSTEM em dispositivos vulneráveis.
"Controle de acesso inadequado no Windows SMB permite que um atacante autorizado eleve privilégios através de uma rede," explica a Microsoft.
"Para explorar esta vulnerabilidade, um atacante poderia executar um script malicioso especialmente criado para coagir a máquina da vítima a se conectar de volta ao sistema de ataque usando SMB e autenticar. Isso poderia resultar em elevação de privilégio," explica ainda a Microsoft.
A Microsoft não compartilhou como a falha foi divulgada publicamente.
No entanto, o Born City relata que o DFN-CERT (Computer Emergency Response Team da Rede de Pesquisa Alemã) começou a circular avisos da RedTeam Pentesting sobre a falha esta semana.
Embora agora uma atualização esteja disponível, a falha pode aparentemente ser mitigada pela aplicação de assinatura SMB do lado do servidor via Group Policy.
A Microsoft atribui a descoberta desta falha a vários pesquisadores, incluindo Keisuke Hirata com a CrowdStrike, pesquisa da Synacktiv com a Synacktiv, Stefan Walter com a SySS GmbH, RedTeam Pentesting GmbH e James Forshaw do Google Project Zero.
Outros fornecedores que lançaram atualizações ou avisos em junho de 2025 incluem:
- Adobe lançou atualizações de segurança para InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader e Substance 3D Painter.
- Cisco lançou patches para três vulnerabilidades com código de exploração pública em seus produtos Identity Services Engine (ISE) e Customer Collaboration Platform (CCP).
- Fortinet lançou atualizações de segurança para uma vulnerabilidade de injeção de comando OS ('OS Command Injection') nos produtos FortiManager, FortiAnalyzer & FortiAnalyzer-BigData.
- As atualizações de segurança de junho de 2025 do Google para Android corrigem várias vulnerabilidades.
O Google também corrigiu uma falha zero-day do Google Chrome ativamente explorada.
- Hewlett Packard Enterprise (HPE) emitiu atualizações de segurança para corrigir oito vulnerabilidades impactando o StoreOnce,
- Ivanti lançou atualizações de segurança para corrigir três vulnerabilidades de chave codificada de alta gravidade no Workspace Control (IWC).
- Qualcomm lançou atualizações de segurança para três vulnerabilidades zero-day no driver da Unidade de Processamento Gráfico (GPU) Adreno que são exploradas em ataques direcionados.
- Roundcube lançou atualizações de segurança para uma falha crítica de execução remota de código (RCE) com um exploit público que agora é explorada em ataques.
- SAP lança atualizações de segurança para vários produtos, incluindo uma verificação de autorização crítica ausente no SAP NetWeaver Application Server para ABAP.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...