Microsoft corrige 130 vulnerabilidades, incluindo falhas críticas no SPNEGO e SQL Server

As atualizações do Patch Tuesday de julho de 2025 da Microsoft, lançadas hoje, trouxeram um volume considerável de correções, abordando impressionantes 130 vulnerabilidades. Pela primeira vez no ano, os pacotes de segurança não incluíram remendos para falhas "zero-day" ativamente exploradas, embora a empresa tenha reconhecido que uma das vulnerabilidades corrigidas já era de conhecimento público.

Das 130 falhas, 10 foram classificadas como Críticas, enquanto as demais foram consideradas Importantes em severidade. Além das vulnerabilidades da própria Microsoft, as atualizações também cobriram 10 CVEs (Common Vulnerabilities and Exposures) não relacionados diretamente a produtos Microsoft, que afetam componentes como Visual Studio, AMD e o navegador Edge baseado em Chromium.

"A sequência de 11 meses de correção de pelo menos um 'zero-day' que estava sendo explorado na natureza terminou este mês", observou Satnam Narang, Engenheiro de Pesquisa Sênior da Tenable.

A distribuição das falhas por tipo revela que 53 são classificadas como bugs de elevação de privilégio, seguidas por 42 de execução remota de código (RCE), 17 de divulgação de informações e 8 de desvio de recursos de segurança. Estas correções se somam a outras duas falhas já tratadas no navegador Edge desde o último Patch Tuesday.

Falha Pública no SQL Server e a Crítica Vulnerabilidade no SPNEGO

Entre as vulnerabilidades corrigidas, uma falha de divulgação de informações no Microsoft SQL Server (CVE-2025-49719, pontuação CVSS: 7.5) foi publicamente conhecida antes do patch. Essa vulnerabilidade poderia permitir que um invasor não autorizado vazasse memória não inicializada.

Adam Barnett, Engenheiro de Software Líder da Rapid7, alertou que, embora um hacker pudesse não obter nada de valor, com persistência e manipulação inteligente do exploit, o prêmio poderia ser "material de chave criptográfica ou outras joias da coroa do SQL Server". Mike Walters, presidente e cofundador da Action1, sugeriu que a falha provavelmente decorre de validação de entrada imprópria no gerenciamento de memória do SQL Server, permitindo o acesso a remanescentes de dados sensíveis, como credenciais.

A vulnerabilidade mais crítica corrigida neste mês é uma falha de execução remota de código (RCE) que afeta o SPNEGO Extended Negotiation (NEGOEX), rastreada como CVE-2025-47981, com uma impressionante pontuação CVSS de 9.8 em 10.0. A Microsoft detalhou que um "estouro de buffer baseado em heap no Windows SPNEGO Extended Negotiation permite que um invasor não autorizado execute código por uma rede". Um hacker poderia explorar essa vulnerabilidade enviando uma mensagem maliciosa ao servidor.

Pesquisadores anônimos e Yuki Chen foram creditados pela descoberta e reparo da falha. A Microsoft ressaltou que o problema afeta apenas máquinas cliente Windows com Windows 10, versão 1607 e superior, devido à política de grupo "Segurança de rede: permitir que solicitações de autenticação PKU2U para este computador usem identidades online" estar habilitada por padrão.

Benjamin Harris, fundador e CEO da watchTowr, expressou preocupação de que essa vulnerabilidade "possa ser 'propagável' – o tipo de vulnerabilidade que poderia ser usada em malware de auto-propagação e fazer muitos reviverem o trauma do incidente WannaCry". Ele enfatizou que, como não é necessária autenticação e apenas acesso à rede, e a Microsoft considera a exploração "mais provável", os defensores devem "largar tudo, corrigir rapidamente e caçar sistemas expostos".

Outras vulnerabilidades importantes incluem falhas de execução remota de código no Windows KDC Proxy Service (CVE-2025-49735, CVSS: 8.1), Windows Hyper-V (CVE-2025-48822, CVSS: 8.6) e Microsoft Office (CVE-2025-49695, CVE-2025-496966 e CVE-2025-49697, CVSS: 8.4).

Ben McCarthy, Engenheiro Chefe de Cibersegurança da Immersive, destacou a importância da CVE-2025-49735 devido à sua exposição à rede e à ausência de privilégios ou interação do usuário necessários, tornando-a atraente para grupos de APTs (Advanced Persistent Threats) e atores estatais, mesmo com a baixa confiabilidade inicial devido a uma condição de corrida.

As atualizações também corrigiram cinco desvios de recursos de segurança no BitLocker (CVE-2025-48001, CVE-2025-48003, CVE-2025-48800, CVE-2025-48804 e CVE-2025-48818, pontuações CVSS: 6.8). Essas falhas poderiam permitir que um invasor com acesso físico ao dispositivo obtivesse dados criptografados.

Microsoft reconheceu os pesquisadores Netanel Ben Simon e Alon Leviev, da Microsoft Offensive Research and Security Engineering (MORSE), por reportarem essas questões. Jacob Ashdown, engenheiro de cibersegurança da Immersive, alertou que, se exploradas, essas falhas poderiam expor arquivos sensíveis, credenciais ou permitir a adulteração da integridade do sistema, representando um risco significativo para dispositivos perdidos ou roubados.

Por fim, é crucial notar que 8 de julho de 2025 marcou oficialmente o fim do suporte para o SQL Server 2012. Esta versão não receberá mais nenhuma atualização de segurança futura, pois o programa de Atualização de Segurança Estendida (ESU) chegou ao fim. Organizações que ainda utilizam o SQL Server 2012 devem priorizar a migração para versões mais recentes para evitar ficarem expostas a vulnerabilidades não corrigidas.

Via - THN