A Microsoft corrigiu quatro falhas de segurança que afetavam suas ofertas de inteligência artificial (AI), nuvem, planejamento de recursos empresariais e Partner Center, incluindo uma que, segundo a empresa, foi explorada ativamente.
A vulnerabilidade que recebeu a classificação "Exploração Detectada" é a CVE-2024-49035 (pontuação CVSS: 8.7), uma falha de escalada de privilégios em partner.microsoft[.]com.
"Uma vulnerabilidade de controle de acesso inadequado em partner.microsoft[.]com permite que um atacante não autenticado eleve privilégios sobre uma rede", disse o gigante da tecnologia em um comunicado divulgado esta semana.
A Microsoft creditou Gautam Peri, Apoorv Wadhwa e um pesquisador anônimo pelo relato da falha, mas não revelou detalhes sobre como ela está sendo explorada em ataques no mundo real.
As correções para as falhas estão sendo implementadas automaticamente como parte das atualizações para a versão online do Microsoft Power Apps.
A Redmond também abordou outras três vulnerabilidades, duas das quais são classificadas como Críticas e uma como Importante em termos de gravidade:
CVE-2024-49038 (pontuação CVSS: 9.3) - Uma vulnerabilidade de Cross-Site Scripting (XSS) no Copilot Studio que poderia permitir que um atacante não autorizado escalasse privilégios sobre uma rede
CVE-2024-49052 (pontuação CVSS: 8.2) - Uma autenticação ausente para uma função crítica no Microsoft Azure PolicyWatch que poderia permitir que um atacante não autorizado escalasse privilégios sobre uma rede.
CVE-2024-49053 (pontuação CVSS: 7.6) - Uma vulnerabilidade de spoofing no Microsoft Dynamics 365 Sales que poderia permitir que um atacante autenticado induzisse um usuário a clicar em uma URL especialmente criada e potencialmente redirecionasse a vítima para um site malicioso.
Embora a maioria das vulnerabilidades já tenha sido totalmente mitigada e não exija ação do usuário, é recomendado atualizar os aplicativos Dynamics 365 Sales para Android e iOS para a versão mais recente (3.24104.15) para proteção contra a CVE-2024-49053.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...