A Microsoft iniciou 2025 com um novo conjunto de correções para um total de 161 vulnerabilidades de segurança em seu portfólio de software, incluindo três zero-days que foram ativamente explorados em ataques.
Das 161 falhas, 11 são classificadas como Críticas, e 149 são classificadas como Importantes em termos de severidade.
Uma outra falha, um CVE não relacionado à Microsoft sobre um bypass do Windows Secure Boot (
CVE-2024-7344
), não teve nenhuma severidade atribuída.
De acordo com a Zero-Day Initiative, a atualização marca o maior número de CVEs abordados em um único mês desde pelo menos 2017.
As correções vêm em adição a sete vulnerabilidades que o fabricante do Windows abordou em seu navegador baseado em Chromium, o Edge, desde o lançamento das atualizações de dezembro de 2024 do Patch Tuesday.
Destaca-se entre os patches lançados pela Microsoft um trio de falhas no Windows Hyper-V NT Kernel Integration VSP (
CVE-2025-21333
,
CVE-2025-21334
e
CVE-2025-21335
, pontuações CVSS: 7.8) que a empresa disse ter sido objeto de exploração ativa:
"Um invasor que explorasse com sucesso esta vulnerabilidade poderia ganhar privilégios de SYSTEM", afirmou a empresa em um aviso sobre as três vulnerabilidades.
Como é costume, atualmente não se sabe como essas brechas estão sendo exploradas, e em que contexto.
A Microsoft também não menciona a identidade dos atores de ameaças que as estão armando ou a escala dos ataques.
Mas, dado que são bugs de escalação de privilégios, é muito provável que sejam usados como parte de uma atividade pós-comprometimento, onde um invasor já ganhou acesso a um sistema alvo por algum outro meio, apontou Satnam Narang, engenheiro sênior de pesquisa de staff na Tenable.
"A Virtualization Service Provider (VSP) reside na partição raiz de uma instância Hyper-V e fornece suporte a dispositivos sintéticos para partições filhas por meio do Virtual Machine Bus (VMBus): é a base de como o Hyper-V permite que a partição filha se engane pensando que é um computador real", informou Adam Barnett, Lead Software Engineer na Rapid7.
Dado que todo o sistema é uma fronteira de segurança, é talvez surpreendente que nenhuma vulnerabilidade do Hyper-V NT Kernel Integration VSP tenha sido reconhecida pela Microsoft até hoje, mas não será nada chocante se mais agora surgirem.
A exploração do Windows Hyper-V NT Kernel Integration VSP também resultou na inclusão deles no catálogo Known Exploited Vulnerabilities (KEV) da U.S.
Cybersecurity and Infrastructure Security Agency (CISA), exigindo que as agências federais apliquem as correções até 4 de fevereiro de 2025.
Separadamente, a Redmond alertou que cinco dos bugs são publicamente conhecidos:
-
CVE-2025-21186
,
CVE-2025-21366
,
CVE-2025-21395
(pontuações CVSS: 7.8) - Vulnerabilidade de Execução Remota de Código no Microsoft Access
-
CVE-2025-21275
(pontuação CVSS: 7.8) - Vulnerabilidade de Escalação de Privilégio no Instalador de Pacote de Aplicativo do Windows
-
CVE-2025-21308
(pontuação CVSS: 6.5) - Vulnerabilidade de Spoofing em Temas do Windows
Vale notar que o
CVE-2025-21308
, que poderia levar à divulgação inadequada de um hash NTLM, foi previamente sinalizado pela 0patch como um bypass para o
CVE-2024-38030
.
Micropatches para a vulnerabilidade foram lançados em outubro de 2024.
Todos os três problemas do Microsoft Access, por outro lado, foram creditados à Unpatched.ai, uma plataforma de descoberta de vulnerabilidades guiada por IA.
A Action1 também observou que, enquanto as falhas são categorizadas como vulnerabilidades de execução remota de código (RCE), a exploração requer que um invasor convença o usuário a abrir um arquivo especialmente criado.
A atualização também é notável por corrigir cinco falhas de severidade Crítica:
-
CVE-2025-21294
(pontuação CVSS: 8.1) - Vulnerabilidade de Execução Remota de Código na Autenticação Digest da Microsoft
-
CVE-2025-21295
(pontuação CVSS: 8.1) - Vulnerabilidade de Execução Remota de Código no Mecanismo de Segurança de Negociação Estendida SPNEGO (NEGOEX)
-
CVE-2025-21298
(pontuação CVSS: 9.8) - Vulnerabilidade de Execução Remota de Código no Linking and Embedding (OLE) do Windows
-
CVE-2025-21307
(pontuação CVSS: 9.8) - Vulnerabilidade de Execução Remota de Código no Driver de Transporte Multicast Confiável (RMCAST) do Windows
-
CVE-2025-21311
(pontuação CVSS: 9.8) - Vulnerabilidade de Escalação de Privilégio no Windows NTLM V1
"Em um cenário de ataque por e-mail, um invasor poderia explorar a vulnerabilidade enviando o e-mail especialmente criado para a vítima", disse a Microsoft em seu boletim para o
CVE-2025-21298
.
A exploração da vulnerabilidade pode envolver tanto uma vítima abrindo um e-mail especialmente criado com uma versão afetada do software Microsoft Outlook, quanto a aplicação Outlook de uma vítima exibindo uma prévia de um e-mail especialmente criado.
Isso poderia resultar na execução de código remoto na máquina da vítima.
Para se proteger contra a falha, é recomendado que os usuários leiam mensagens de e-mail em formato de texto simples.
Também está sendo aconselhado o uso do Microsoft Outlook para reduzir o risco de usuários abrirem arquivos RTF de fontes desconhecidas ou não confiáveis.
"A vulnerabilidade
CVE-2025-21295
no mecanismo de segurança de Negociação Estendida SPNEGO (NEGOEX) permite que invasores não autenticados executem código malicioso remotamente em sistemas afetados sem interação do usuário", disse Saeed Abbasi, gerente de pesquisa de vulnerabilidade na Qualys Threat Research Unit.
Apesar de uma alta complexidade de ataque (AC:H), uma exploração bem-sucedida pode comprometer totalmente a infraestrutura empresarial ao minar uma camada essencial de mecanismo de segurança, levando a possíveis violações de dados.
Como não são necessárias credenciais válidas, o risco de impacto generalizado é significativo, destacando a necessidade de patches imediatos e mitigação vigilante.
Quanto ao
CVE-2025-21294
, a Microsoft disse que um ator maligno poderia explorar com sucesso essa vulnerabilidade conectando-se a um sistema que exige autenticação digest, desencadeando uma condição de corrida para criar um cenário de use-after-free e, então, aproveitá-lo para executar código arbitrário.
"Microsoft Digest é o aplicativo responsável por realizar a autenticação inicial quando um servidor recebe a primeira resposta do desafio de um cliente", disse Ben Hopkins, engenheiro de cibersegurança na Immersive Labs.
O servidor funciona verificando se o cliente já foi autenticado.
O
CVE-2025-21294
envolve a exploração desse processo para que os atacantes alcancem execução remota de código (RCE).
Entre a lista de vulnerabilidades que foram marcadas como mais prováveis de serem exploradas está uma falha de divulgação de informações afetando o Windows BitLocker (
CVE-2025-21210
, pontuação CVSS: 4.2) que poderia permitir a recuperação de imagens de hibernação em texto simples, assumindo que um invasor seja capaz de obter acesso físico ao disco rígido da máquina da vítima.
"Imagens de hibernação são usadas quando um laptop entra em modo de espera e contém os conteúdos que estavam armazenados na RAM no momento em que o dispositivo foi desligado", disse Kev Breen, diretor sênior de pesquisa de ameaças na Immersive Labs.
Isso apresenta um impacto potencial significativo, pois a RAM pode conter dados sensíveis (como senhas, credenciais e PII) que podem ter estado em documentos abertos ou sessões de navegador e podem todos ser recuperados com ferramentas gratuitas de arquivos de hibernação.
Patches de Software de Outros Fornecedores
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo:
Adobe
Amazon Web Services
Arm
ASUS
Broadcom (incluindo VMware)
Cisco
D-Link
Dell
Drupal
F5
Fortinet
Fortra
GitHub
GitLab
Google Android e Pixel
Google Chrome
Google Cloud
HP
HP Enterprise (incluindo Aruba Networking)
Huawei
IBM
Imagination Technologies
Ivanti
Juniper Networks
Lenovo
Distribuições Linux Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE e Ubuntu
MediaTek
Moxa
Mozilla Firefox, Firefox ESR e Thunderbird
NVIDIA
Palo Alto Networks
Phoenix Technologies
Qualcomm
Rockwell Automation
Rsync
Salesforce
Samsung
SAP
Schneider Electric
Siemens
SimpleHelp
SonicWall
Splunk
Veeam
Zoho ManageEngine
Zoom, e
Zyxel
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...