Em maio 2025 atualização de segurança, A Microsoft lançou patches para 78 vulnerabilidades que abrangem seu ecossistema de produtos. Mais notavelmente, cinco dessas falhas (a.k.a. exploits de dia zero) já foram exploradas na natureza.
Maio 2025 patch Tuesday: 78 Vulnerabilidades por gravidade
A maior parte de correções deste mês abordar ameaças de alto impacto. Do total:
- 11 vulnerabilidades são consideradas Crítico
- 66 são classificados Importante
- 1 está listado como Baixo risco
As categorias de ameaças incluem:
- Execução Remota de Código (28 falhas)
- escalação de privilégios (21 falhas)
- Divulgação de informação (16 falhas)
Vulnerabilidades de Dia Zero ativamente visadas
Cinco dos problemas corrigidos este mês já estavam sendo explorados antes da divulgação. Esses incluem:
- CVE-2025-30397: Uma falha no mecanismo de script que permite que invasores executem códigos criando scripts maliciosos.
- CVE-2025-30400: Um bug de elevação no Gerenciador de Janelas da Área de Trabalho, um alvo comum nos últimos anos.
- CVE-2025-32701 e CVE-2025-32706: Duas vulnerabilidades no driver CLFS que permitem escalonamento de privilégios não autorizados.
- CVE-2025-32709: Uma falha no driver WinSock que pode elevar os privilégios do usuário se explorada localmente.
Algumas dessas vulnerabilidades foram identificadas pela equipe interna da Microsoft, enquanto outros foram sinalizados por pesquisadores do Google, CrowdStrike, e especialistas independentes em segurança.
Insights de impacto e pesquisa no mundo real
O problema do mecanismo de script é especialmente perigoso, pois permite que invasores assumam o controle de um sistema por meio de uma página da web ou script comprometido. Se explorado em uma máquina onde o usuário tem direitos de administrador, poderia permitir o comprometimento total do sistema, incluindo acesso a dados e implantação de malware.
O bug do Desktop Window Manager marca a terceira falha encontrada nesse componente desde 2023. Reflete uma superfície de ataque recorrente que tem sido repetidamente abusada em campanhas de malware, como as vinculadas a Qakbot.
Bugs do CLFS e do WinSock continuam chamando atenção
CLFS, o sistema de registro do Windows, tornou-se um alvo cada vez mais atraente para os agentes de ameaças. Duas das vulnerabilidades mais recentes de escalonamento de privilégios continuam o padrão de exploração visto em campanhas anteriores em várias regiões, incluindo os EUA. e no Oriente Médio.
A falha do WinSock faz parte de uma lista crescente de vulnerabilidades semelhantes, com alguns ligados a grupos de ameaças de alto perfil, como Grupo Lazarus da Coreia do Norte.
Linux Defender e serviços de identidade também afetados
Além das vulnerabilidades do Windows, A Microsoft também corrigiu um problema de privilégio local em seu produto Defender for Endpoint baseado em Linux. O problema decorre do manuseio inseguro de um script Python que identifica instalações Java, potencialmente dando aos invasores acesso root não intencional.
Em uma nota separada, uma vulnerabilidade de falsificação no Microsoft Defender for Identity também foi corrigido. Esse problema pode ter permitido que invasores em uma rede coletassem hashes NTLM explorando protocolos de autenticação de fallback.
Vulnerabilidade com classificação mais alta tem como alvo o Azure DevOps
A vulnerabilidade mais grave deste mês, com um 10.0 na escala CVSS, afeta o Azure DevOps Server. Embora nenhuma ação do cliente seja necessária devido à pré-implantação na nuvem, a falha revela a natureza crítica de riscos de escalonamento de privilégios do lado do servidor em fluxos de trabalho DevOps modernos.
NOS. Governo impõe prazos para patches federais
Devido à exploração de vários bugs de dia zero, a Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou as cinco ameaças ativas ao seu Vulnerabilidades exploradas conhecidas Catálogo. NOS. as agências federais devem aplicar correções para essas falhas até Junho 3, 2025.
Recomendações para Organizações
Dada a escala e a gravidade da atualização que abrange 78 vulnerabilidades, Os administradores de TI são instados a tomar as seguintes ações imediatamente:
- Instale o May 2025 atualizações de segurança em todos os endpoints e servidores.
- Auditar contas privilegiadas para garantir direitos mínimos de acesso.
- Monitorar sistemas em busca de sinais de intrusão, particularmente em componentes CLFS e DWM.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: