Microsoft corrige 55 vulnerabilidades, incluindo duas críticas de dia zero

Como parte do pacote de atualização de segurança Patch Tuesday de fevereiro de 2025, a Microsoft lançou atualizações que corrigem 55 vulnerabilidades, incluindo quatro vulnerabilidades de dia zero, duas das quais já estão sendo exploradas ativamente por invasores em ataques no mundo real.

Fonte da imagem: Andras Vas / Unsplash

Além disso, conforme relatado pelo BleepingComputer, a atualização corrige três vulnerabilidades críticas relacionadas à execução remota de código. Além dos problemas listados, a atualização inclui correções para uma ampla gama de erros, divididos em categorias:

• 19 Erros de Escalonamento de Privilégios
• 2 Erros Relacionados a Ignorar Recursos de Segurança
• 22 Erros de execução remota de código
• 1 Erro Relacionado à Divulgação
• 9 Erros de Negação de Serviço
• 3 erros relacionados à falsificação.

Vale ressaltar que esses números não incluem uma vulnerabilidade crítica de escalonamento de privilégios no Microsoft Dynamics 365 Sales e 10 vulnerabilidades no Microsoft Edge que foram abordadas em uma atualização separada em 6 de fevereiro.

Duas vulnerabilidades de dia zero exploradas ativamente e corrigidas este mês representam a maior ameaça. Uma delas, CVE-2025-21391, é uma vulnerabilidade de escalonamento de privilégios no Windows Storage. Um invasor que explorasse essa falha seria capaz de excluir arquivos específicos no dispositivo e, embora não expusesse nenhuma informação sensível, poderia tornar o sistema inutilizável, disse a Microsoft.

A segunda vulnerabilidade explorada ativamente é a CVE-2025-21418 – Escalonamento de privilégios no driver de função auxiliar para WinSock. Essa vulnerabilidade permitiu que invasores obtivessem privilégios de SISTEMA no Windows. A Microsoft não forneceu detalhes sobre como exatamente ele foi usado nos ataques.

Duas outras vulnerabilidades de dia zero abordadas nesta versão foram divulgadas publicamente antes do lançamento do patch. CVE-2025-21194 é um bug de bypass de recurso de segurança no Microsoft Surface que pode permitir que um invasor ignore as proteções UEFI e comprometa o kernel seguro. A Microsoft disse que a vulnerabilidade está relacionada a máquinas virtuais em máquinas host UEFI, enquanto a empresa francesa de segurança cibernética Quarkslab também esclareceu que ela também pode estar relacionada à série de vulnerabilidades PixieFail que afetam a pilha de protocolos de rede IPv6.

A mais recente vulnerabilidade de falsificação, CVE-2025-21377, permitiu que invasores divulgassem hashes NTLM de usuários do Windows para login remoto ou ataques pass-the-hash, o que permite que um hacker faça login em um servidor remoto que se autentica usando o protocolo LM ou NTLM. A Microsoft explica que “a interação mínima do usuário com um arquivo malicioso, como um único clique ou clique com o botão direito, ou a execução de uma ação diferente de abrir ou executar o arquivo, aciona essa vulnerabilidade”.