Na última terça-feira, a Microsoft implementou correções para um conjunto massivo de 111 falhas de segurança em seu portfólio de software, incluindo uma falha que foi divulgada como conhecida publicamente no momento do lançamento.
Das 111 vulnerabilidades, 16 são classificadas como Críticas, 92 são classificadas como Importantes, duas são classificadas como Moderadas e uma é classificada como Baixa em gravidade.
Quarenta e quatro das vulnerabilidades estão relacionadas a escalada de privilégios, seguidas por execução remota de código (35), divulgação de informação (18), spoofing (8) e defeitos de negação de serviço (4).
Isso está adicionalmente a 16 vulnerabilidades abordadas no navegador Edge baseado em Chromium da Microsoft desde a atualização do Patch Tuesday do último mês, incluindo dois bugs de spoofing que afetam o Edge para Android.
Entre as vulnerabilidades está uma vulnerabilidade de escalada de privilégios impactando implantações híbridas do Microsoft Exchange Server (
CVE-2025-53786
, pontuação CVSS: 8.0) que a Microsoft divulgou na semana passada.
A zero-day publicamente divulgada é
CVE-2025-53779
(pontuação CVSS: 7.2), outra falha de escalada de privilégios no Windows Kerberos que surge de um caso de travessia de caminho relativo.
O pesquisador da Akamai, Yuval Gordon, foi creditado pela descoberta e relato do bug.
É digno de menção que a questão foi detalhada publicamente em maio de 2025 pela empresa de infraestrutura web e segurança, recebendo o codinome BadSuccessor.
A técnica inovadora permite essencialmente que um ator de ameaças com privilégios suficientes comprometa um domínio Active Directory (AD) através do uso indevido de objetos de conta de serviço gerenciado delegado (dMSA).
"A boa notícia aqui é que a exploração bem-sucedida do
CVE-2025-53779
requer que um atacante tenha controle pré-existente de dois atributos do dMSA bem protegido: msds-groupMSAMembership, que determina quais usuários podem usar credenciais para a conta de serviço gerenciado, e msds-ManagedAccountPrecededByLink, que contém uma lista de usuários em nome dos quais o dMSA pode agir," informou Adam Barnett, engenheiro de software líder na Rapid7, ao The Hacker News.
"No entanto, o abuso do
CVE-2025-53779
é certamente plausível como o último elo de uma cadeia de múltiplos exploits que se estende de nenhum acesso ao controle total."
Mike Walters da Action1 observou que a falha de travessia de caminho pode ser abusada por um atacante para criar relações de delegação inadequadas, permitindo-lhes se passar por contas privilegiadas, escalar para um administrador de domínio e potencialmente obter controle total do domínio Active Directory.
"Um atacante que já possui uma conta privilegiada comprometida pode usá-la para mover-se de direitos administrativos limitados para controle total do domínio," Walters adicionou.
"Isso também pode ser combinado com métodos como ataques de Kerberoasting ou Silver Ticket para manter persistência." "Com privilégios de administrador de domínio, os atacantes podem desativar o monitoramento de segurança, modificar a Política de Grupo e manipular logs de auditoria para esconder sua atividade.
Em ambientes multi-florestais ou organizações com conexões de parceiros, essa falha poderia até ser aproveitada para mover de um domínio comprometido para outros em um ataque à cadeia de suprimentos." Satnam Narang, engenheiro de pesquisa sênior da equipe na Tenable, disse que o impacto imediato do BadSuccessor é limitado, já que apenas 0,7% dos domínios Active Directory atendiam o pré-requisito no momento da divulgação.
"Para explorar BadSuccessor, um atacante deve ter ao menos um controlador de domínio em um domínio executando Windows Server 2025 para alcançar a comprometimento do domínio," Narang apontou.
Algumas das vulnerabilidades classificadas como Críticas corrigidas pela Redmond este mês incluem:
-
CVE-2025-53767
(pontuação CVSS: 10.0) - Vulnerabilidade de Elevação de Privilégio do Azure OpenAI;
-
CVE-2025-53766
(pontuação CVSS: 9.8) - Vulnerabilidade de Execução Remota de Código GDI+;
-
CVE-2025-50165
(pontuação CVSS: 9.8) - Vulnerabilidade de Execução Remota de Código do Componente Gráfico do Windows;
-
CVE-2025-53792
(pontuação CVSS: 9.1) - Vulnerabilidade de Elevação de Privilégio do Portal Azure;
-
CVE-2025-53787
(pontuação CVSS: 8.2) - Vulnerabilidade de Divulgação de Informações do Microsoft 365 Copilot BizChat;
-
CVE-2025-50177
(pontuação CVSS: 8.1) - Vulnerabilidade de Execução Remota de Código do Microsoft Message Queuing (MSMQ);
-
CVE-2025-50176
(pontuação CVSS: 7.8) - Vulnerabilidade de Execução Remota de Código do Núcleo Gráfico do DirectX
A Microsoft observou que as três CVEs de serviços em nuvem impactando o Azure OpenAI, Portal Azure e Microsoft 365 Copilot BizChat já foram remediadas e que não requerem ação por parte dos clientes.
A Check Point, que divulgou o
CVE-2025-53766
junto ao
CVE-2025-30388
, disse que as vulnerabilidades permitem aos atacantes executar código arbitrário no sistema afetado, levando a um comprometimento total do sistema.
O vetor de ataque envolve interagir com um arquivo especialmente criado.
Quando um usuário abre ou processa este arquivo, a vulnerabilidade é acionada, permitindo que o atacante assuma o controle," disse a empresa de cibersegurança.
A firma israelense revelou que também descobriu uma vulnerabilidade em um componente baseado em Rust do núcleo do Windows que pode resultar em um travamento do sistema que, por sua vez, aciona uma reinicialização forçada.
"Para organizações com grandes forças de trabalho ou trabalho remoto, o risco é significativo: atacantes poderiam explorar essa falha para travar simultaneamente numerosos computadores em uma empresa, resultando em interrupção generalizada e tempo de inatividade oneroso," disse a Check Point.
"Esta descoberta destaca que, mesmo com tecnologias de segurança avançadas como Rust, vigilância contínua e patching proativo são essenciais para manter a integridade do sistema em um ambiente de software complexo."
Outra vulnerabilidade importante é
CVE-2025-50154
(pontuação CVSS: 6.5), uma vulnerabilidade de spoofing de divulgação de hash NTLM que é na verdade uma evasão para um bug similar (CVE-2025-24054, pontuação CVSS: 6.5) que foi corrigido pela Microsoft em março de 2025.
"A vulnerabilidade original demonstrou como solicitações especialmente criadas podiam acionar autenticação NTLM e expor credenciais sensíveis," disse o pesquisador da Cymulate, Ruben Enkaoua.
Esta nova vulnerabilidade [...] permite que um atacante extraia hashes NTLM sem qualquer interação do usuário, mesmo em sistemas totalmente corrigidos.
Ao explorar uma lacuna sutil deixada na mitigação, um atacante pode acionar automaticamente solicitações de autenticação NTLM, permitindo ataques de crack offline ou de retransmissão para obter acesso não autorizado.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...