URGENTE: Microsoft corrige 57 falhas de segurança, incluindo 6 zero-days ativamente exploradas

A Microsoft lançou nesta terça-feira uma série de atualizações de segurança para corrigir 57 vulnerabilidades em seus produtos, incluindo seis falhas zero-day que já estavam sendo exploradas por hackers.

Das falhas corrigidas, seis foram classificadas como críticas, 50 como importantes e uma como de baixa gravidade. Dentre as vulnerabilidades, 23 permitem execução remota de código, enquanto 22 podem ser exploradas para escalonamento de privilégios. Além disso, a empresa também lançou atualizações para corrigir 17 falhas em seu navegador Microsoft Edge, incluindo uma falha de falsificação (CVE-2025-26643, pontuação CVSS: 5.4).

As seis vulnerabilidades zero-day exploradas ativamente incluem:

• CVE-2025-24983 (CVSS 7.0) – Falha de uso após liberação (UAF) no subsistema Win32 Kernel, permitindo que um invasor autorizado eleve privilégios localmente.

• CVE-2025-24984 (CVSS 4.6) – Falha de divulgação de informações no Windows NTFS, permitindo que um hacker com acesso físico ao dispositivo-alvo utilize um pendrive malicioso para ler porções da memória.

• CVE-2025-24985 (CVSS 7.8) – Vulnerabilidade de estouro de número inteiro no driver Windows Fast FAT, possibilitando a execução de código local por um invasor não autorizado.

• CVE-2025-24991 (CVSS 5.5) – Falha de leitura fora dos limites no NTFS, permitindo que um hacker autorizado divulgue informações localmente.

• CVE-2025-24993 (CVSS 7.8) – Falha de estouro de buffer baseado em heap no NTFS, possibilitando a execução de código local sem necessidade de autenticação.

• CVE-2025-26633 (CVSS 7.0) – Vulnerabilidade de neutralização imprópria na Microsoft Management Console (MMC), permitindo que um hacker contorne medidas de segurança e execute código localmente.

  
  

A empresa de cibersegurança ESET, que descobriu e relatou a falha CVE-2025-24983, afirmou que o exploit foi detectado em março de 2023 e estava sendo distribuído pelo trojan PipeMagic. Esse malware foi utilizado em ataques na Ásia e Arábia Saudita, muitas vezes disfarçado como um aplicativo falso do ChatGPT. O PipeMagic gera um identificador aleatório de 16 bytes para criar um pipe nomeado, usado para receber cargas maliciosas e comandos de controle de um servidor remoto hospedado no Microsoft Azure.

A Zero Day Initiative destacou que a falha CVE-2025-26633 está relacionada ao manuseio de arquivos MSC, permitindo que hackers burlem proteções de reputação de arquivos e executem código com permissões do usuário atual. O ataque tem sido associado ao grupo hacker EncryptHub (LARVA-208).

Já a empresa Action1 alertou que quatro das vulnerabilidades corrigidas afetam diretamente o sistema de arquivos do Windows e podem ser exploradas em cadeia para execução remota de código (CVE-2025-24985 e CVE-2025-24993) e divulgação de informações (CVE-2025-24984 e CVE-2025-24991). Essas falhas foram relatadas anonimamente.

Especialistas alertam que hackers podem explorar essas vulnerabilidades para criar VHDs (Virtual Hard Disks) maliciosos, convencendo usuários a montá-los e executando cargas maliciosas automaticamente. Esse tipo de técnica já foi observada em campanhas anteriores de phishing, onde arquivos VHD/VHDX eram usados para contornar soluções antivírus.

A CISA (Cybersecurity and Infrastructure Security Agency) incluiu essas vulnerabilidades no catálogo de falhas exploradas conhecidas (KEV), exigindo que agências federais dos EUA apliquem as correções até 1º de abril de 2025.

Via - THN