Microsoft corrige dois Zero-Days críticos no Windows, um atinge Todas as versões já lançadas

A Microsoft lançou na última terça-feira um monumental conjunto de correções de segurança, endereçando 183 vulnerabilidades em seus produtos. Notavelmente, a atualização do Patch Tuesday de outubro de 2025 incluiu patches para três vulnerabilidades que já estavam sendo ativamente exploradas no mundial – os chamados zero-days.

O lançamento ocorre no momento em que a gigante da tecnologia encerrou formalmente o suporte para seu sistema operacional Windows 10, exigindo a inscrição no programa Extended Security Updates (ESU) para futuras proteções.

Das 183 vulnerabilidades totais, 165 foram classificadas como "Importantes" e 17 como "Críticas". A maioria esmagadora (84) corresponde a falhas de elevação de privilégios, seguidas por problemas de execução remota de código (33) e divulgação de informações (28).

Os dois zero-days críticos explorados no Windows são:

1. CVE-2025-24990 (CVSS: 7,8): Vulnerabilidade de elevação de privilégio do driver do modem Windows Agere ("ltmdm64.sys").

2. CVE-2025-59230 (CVSS: 7,8): Vulnerabilidade de elevação de privilégio do Gerenciador de Conexão de Acesso Remoto do Windows (RasMan).

A Microsoft confirmou que ambas as falhas podem permitir que invasores executem código com privilégios elevados. O hacker Adam Barnett, engenheiro-chefe de software da Rapid7, destacou a gravidade do CVE-2025-24990, afirmando que o driver Agere vulnerável é fornecido com todas as versões do Windows, até o Server 2025, independentemente do hardware associado estar em uso.

"Seu PC ainda está vulnerável, e um invasor local com uma conta de privilégio mínimo pode se tornar administrador," alertou. Devido à sua natureza legada de terceiros, a Microsoft planeja remover o driver completamente, em vez de emitir um patch tradicional.

A vulnerabilidade no Gerenciador de Conexão RasMan (CVE-2025-59230) marca a primeira vez que este componente é explorado como um zero-day ativo, conforme notou Satnam Narang, engenheiro sênior de pesquisa da Tenable.

O terceiro zero-day explorado ativamente no mundo real diz respeito a um bypass de inicialização segura no sistema operacional IGEL (anterior à versão 11), rastreado como CVE-2025-47827 (CVSS: 4,6), cujos detalhes já haviam sido divulgados publicamente em junho de 2025. Kev Breen, diretor sênior de pesquisa de ameaças da Immersive, explicou que, embora este não seja um ataque remoto, a falha é crítica, pois pode permitir que um hacker obtenha acesso ao nível do kernel e manipule desktops virtuais, o que torna ataques de "empregado mal-intencionado" o vetor mais provável contra funcionários que viajam.

Devido à exploração ativa, os três problemas foram adicionados ao catálogo de Vulnerabilidades Conhecidas Exploradas da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), exigindo correção imediata por agências federais.

A atualização deste mês também incluiu outras falhas de alta gravidade, como uma vulnerabilidade de Execução Remota de Código (Remote Code Execution - RCE) (CVE-2025-59287, CVSS: 9,8) no Windows Server Update Service (WSUS) e um RCE na análise de URL do Windows (CVE-2025-59295, CVSS: 8,8).

Sobre o último, o hacker Ben McCarthy, engenheiro-chefe de segurança cibernética da Immersive, explicou que o invasor pode construir uma URL maliciosa para causar um overflow de dados e redirecionar o fluxo de execução do programa para um endereço de memória controlado, permitindo a execução de código arbitrário.

As maiores pontuações CVSS (9,9) foram atribuídas a duas falhas: uma de escalonamento de privilégios no Microsoft Graphics Component (CVE-2025-49708) e um desvio de recurso de segurança no ASP.NET (CVE-2025-55315).

McCarthy enfatizou que o CVE-2025-49708 é um "escape completo da máquina virtual (VM)", permitindo que um invasor com acesso, mesmo que de baixo privilégio, a uma única VM convidada, invada e execute código com privilégios de SISTEMA no servidor host subjacente. "Essa falha de isolamento significa que o invasor pode acessar, manipular ou destruir dados em todas as outras VMs em execução no mesmo host," concluiu o especialista.

Via - THN