A Microsoft, na terça-feira, liberou correções para endereçar um total de 78 falhas de segurança em sua gama de softwares, incluindo um conjunto de cinco zero-days que estão sob exploração ativa em ambiente real.
Das 78 falhas resolvidas pela gigante da tecnologia, 11 são classificadas como Críticas, 66 são classificadas como Importantes e uma é classificada como Baixa em severidade.
Vinte e oito dessas vulnerabilidades levam à execução remota de código, 21 delas são bugs de elevação de privilégio e 16 outras são classificadas como falhas de divulgação de informações.
As atualizações somam-se a mais oito defeitos de segurança corrigidos pela empresa em seu navegador baseado no Chromium, Edge, desde a atualização do Patch Tuesday do mês passado.
As cinco vulnerabilidades que estão sob exploração ativa em ambiente real são listadas abaixo:
-
CVE-2025-30397
(pontuação CVSS: 7.5) - Vulnerabilidade de Corrupção de Memória no Motor de Scripting;
-
CVE-2025-30400
(pontuação CVSS: 7.8) - Vulnerabilidade de Elevação de Privilégios na Biblioteca Central do Gerenciador de Janelas da área de trabalho da Microsoft (DWM);
-
CVE-2025-32701
(pontuação CVSS: 7.8) - Vulnerabilidade de Elevação de Privilégios no Driver do Sistema de Arquivos de Log Comum do Windows (CLFS);
-
CVE-2025-32706
(pontuação CVSS: 7.8) - Vulnerabilidade de Elevação de Privilégios no Driver do Sistema de Arquivos de Log Comum do Windows;
-
CVE-2025-32709
(pontuação CVSS: 7.8) - Vulnerabilidade de Elevação de Privilégios no Driver de Função Auxiliar para WinSock do Windows.
Enquanto as três primeiras falhas foram creditadas à própria equipe de inteligência de ameaças da Microsoft, Benoit Sevens do Google Threat Intelligence Group e a equipe de Pesquisa Avançada da CrowdStrike foram reconhecidos pela descoberta do
CVE-2025-32706
.
Um pesquisador anônimo foi creditado com o relato do
CVE-2025-32709
.
"Outra vulnerabilidade zero-day foi identificada no Motor de Scripting da Microsoft, um componente-chave usado pelo Internet Explorer e modo Internet Explorer no Microsoft Edge," disse Alex Vovk, CEO e cofundador da Action1, sobre o
CVE-2025-30397
.
Os atacantes podem explorar a falha através de uma página web ou script malicioso que causa uma má interpretação dos tipos de objetos pelo motor de scripting, resultando em corrupção de memória e execução arbitrária de código no contexto do usuário atual.
Se o usuário possuir privilégios administrativos, os atacantes poderiam obter controle total do sistema – possibilitando o roubo de dados, instalação de malware e movimentação lateral através de redes.
O
CVE-2025-30400
é a terceira falha de elevação de privilégios na Biblioteca Central do DWM a ser armada em ambiente real desde 2023.
Em maio de 2024, a Microsoft emitiu correções para o
CVE-2024-30051
, que, segundo a Kaspersky, foi usado em ataques distribuindo o malware QakBot (também conhecido como Qwaking Mantis).
"Desde 2022, o Patch Tuesday abordou 26 vulnerabilidades de elevação de privilégios no DWM," disse Satnam Narang, engenheiro de pesquisa sênior na Tenable, em uma declaração compartilhada com a imprensa.
De fato, o lançamento de abril de 2025 incluiu correções para cinco vulnerabilidades de elevação de privilégios na Biblioteca Central do DWM.
Antes do
CVE-2025-30400
, apenas dois bugs de elevação de privilégios do DWM foram explorados como zero days – o
CVE-2024-30051
em 2024 e o
CVE-2023-36033
em 2023.
O
CVE-2025-32701
e o
CVE-2025-32706
são a sétima e a oitava falhas de elevação de privilégios a serem descobertas no componente CLFS e foram exploradas em ataques reais desde 2022.
No mês passado, a Microsoft revelou que o
CVE-2025-29824
foi explorado em ataques limitados visando empresas nos EUA, Venezuela, Espanha e Arábia Saudita.
O
CVE-2025-29824
também é dito ter sido explorado como um zero-day por atores de ameaças vinculados à família de ransomware Play como parte de um ataque visando uma organização não nomeada nos EUA, a Broadcom-owned Symantec revelou mais cedo este mês.
O
CVE-2025-32709
, igualmente, é a terceira falha de elevação de privilégios no componente de Driver de Função Auxiliar para WinSock a ser abusada no prazo de um ano, após o
CVE-2024-38193
e o
CVE-2025-21418
.
Vale a pena notar que a exploração do
CVE-2024-38193
foi atribuída ao Grupo Lazarus vinculado à Coreia do Norte.
Este desenvolvimento levou a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a adicionar todas as cinco vulnerabilidades ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais apliquem as correções até 3 de junho de 2025.
A atualização do Patch Tuesday da Microsoft também aborda uma falha de elevação de privilégios no Microsoft Defender para Endpoint para Linux (
CVE-2025-26684
, pontuação CVSS: 6.7) que poderia permitir a um atacante autorizado elevar privilégios localmente.
Rich Mirch, pesquisador da Stratascale, que é um dos dois pesquisadores reconhecidos por reportar a vulnerabilidade, disse que o problema está enraizado em um script auxiliar de Python que inclui uma função ("grab_java_version()") para determinar a versão do Java Runtime Environment (JRE).
"A função determina a localização do binário Java em disco ao verificar o link simbólico /proc/<PID>/exe e então executa o comando java -version," explicou Mirch.
"O problema é que o binário Java poderia estar sendo executado a partir de um local não confiável.
Um usuário local malicioso sem privilégios pode criar um processo com o nome java ou javaw, que eventualmente será executado com privilégios de root para determinar a versão do JRE."
Outra falha notável é uma vulnerabilidade de spoofing afetando o Microsoft Defender para Identidade (
CVE-2025-26685
, pontuação CVSS: 6.5) que permite a um atacante com acesso à LAN realizar spoofing por uma rede adjacente.
"A detecção de caminho de movimentação lateral em si pode potencialmente ser explorada por um adversário para obter um hash NTLM," Adam Barnett, engenheiro de software líder na Rapid7, disse em uma declaração.
As credenciais comprometidas neste caso seriam as da conta de Serviços de Diretório, e a exploração depende de conseguir um fallback do Kerberos para o NTLM.
A vulnerabilidade com a severidade máxima é o
CVE-2025-29813
(pontuação CVSS: 10.0), uma falha de elevação de privilégios no Azure DevOps Server que permite a um atacante não autorizado elevar privilégios por uma rede.
A Microsoft disse que a deficiência já foi implantada na nuvem e não é necessária nenhuma ação por parte dos clientes.
Patches de Software de Outros Fornecedores
Além da Microsoft, atualizações de segurança também foram liberadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo:
- Adobe
- Amazon Web Services
- AMD
- Apple
- Arm
- ASUS
- Bosch
- Broadcom (incluindo VMware)
- Canon
- Cisco
- Citrix
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Android e Pixel
- Google Chrome
- Google Cloud
- Google Wear OS
- Hitachi Energy
- HP
- HP Enterprise (incluindo Aruba Networking)
- IBM
- Intel
- Ivanti
- Juniper Networks
- Lenovo
- Distribuições Linux Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE e Ubuntu
- MediaTek
- Mitel
- Mitsubishi Electric
- Moxa
- Mozilla Firefox, Firefox ESR e Thunderbird
- NVIDIA
- Palo Alto Networks
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- SonicWall
- Splunk
- Spring Framework
- TP-Link
- Trend Micro
- Veritas
- Zoom e
- Zyxel
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...