A Microsoft lançou hoje o seu pacote de atualizações de segurança de junho de 2025, conhecido como Patch Tuesday, que aborda um total de 66 vulnerabilidades. Entre as correções, destacam-se duas falhas "zero-day": uma que já está a ser ativamente explorada por piratas informáticos e outra que foi publicamente divulgada antes do lançamento de uma correção oficial.
Este mês, a gigante tecnológica corrigiu também dez vulnerabilidades classificadas como "Críticas". Oito destas permitem a execução remota de código (RCE), enquanto as outras duas são falhas de elevação de privilégios, representando riscos significativos para os utilizadores do Windows.
Um resumo das vulnerabilidades corrigidas
A distribuição das 66 falhas por categoria é a seguinte:
- 25 vulnerabilidades de Execução Remota de Código
- 17 vulnerabilidades de Divulgação de Informação
- 13 vulnerabilidades de Elevação de Privilégios
- 6 vulnerabilidades de Negação de Serviço (DoS)
- 3 vulnerabilidades de Bypass de Funcionalidades de Segurança
- 2 vulnerabilidades de Spoofing (Falsificação)
É importante notar que esta contagem não inclui as correções para o Mariner, Microsoft Edge e Power Automate, que foram disponibilizadas no início do mês. Para mais detalhes sobre as atualizações não relacionadas com segurança, pode consultar as informações sobre os updates cumulativos KB5060842 e KB5060999 para o Windows 11 e KB5060533 para o Windows 10.
As duas vulnerabilidades "zero-day" em destaque
Uma falha "zero-day" é uma vulnerabilidade que é divulgada ou explorada antes de o fabricante ter uma solução. Este mês, a Microsoft resolveu duas situações deste tipo.
CVE-2025-33053: A falha WebDAV explorada ativamente
A vulnerabilidade mais preocupante é uma falha de execução remota de código no protocolo Web Distributed Authoring and Versioning (WEBDAV). Segundo um aviso da Check Point Research, a exploração bem-sucedida desta falha "pode permitir que um atacante remoto execute código arbitrário no sistema afetado".
O boletim de segurança da Microsoft detalha que a exploração requer que o utilizador clique num URL WebDav especialmente criado. Um relatório da Check Point Research revelou que esta vulnerabilidade foi utilizada em ataques pelo grupo de ciberespionagem "Stealth Falcon", nomeadamente numa tentativa de ataque contra uma empresa de defesa na Turquia em março de 2025. Os atacantes manipularam o diretório de trabalho de uma ferramenta legítima do Windows para executar ficheiros alojados num servidor WebDAV sob o seu controlo. A descoberta é creditada aos investigadores Alexandra Gofman e David Driker da Check Point.
CVE-2025-33073: A vulnerabilidade SMB divulgada publicamente
A segunda falha "zero-day" corrigida afeta o cliente Windows SMB, permitindo que um atacante eleve os seus privilégios para o nível de SISTEMA em dispositivos vulneráveis. A explicação da Microsoft indica que um controlo de acesso impróprio no Windows SMB permite esta elevação de privilégios através da rede. Para explorar a falha, um atacante necessitaria de executar um script malicioso que forçasse a máquina da vítima a conectar-se ao seu sistema via SMB.
Embora a Microsoft não tenha especificado como a falha se tornou pública, o site Born City refere que o DFN-CERT (a equipa de resposta a emergências informáticas da rede de investigação alemã) começou a circular avisos sobre a vulnerabilidade esta semana. Como mitigação, para além da atualização, é recomendado reforçar a assinatura SMB do lado do servidor através de uma Política de Grupo (Group Policy). A descoberta desta falha é atribuída a vários investigadores, incluindo Keisuke Hirata da CrowdStrike e James Forshaw do Google Project Zero.
Outras empresas também lançaram atualizações em junho
O mês de junho tem sido movimentado no que toca a segurança digital, com várias outras empresas a lançarem correções importantes:
- Adobe: Lançou atualizações para produtos como Acrobat Reader, InDesign, Commerce e Experience Manager.
- Cisco: Corrigiu três vulnerabilidades com código de exploração público nos seus produtos Identity Services Engine (ISE) e Customer Collaboration Platform (CCP).
- Fortinet: Publicou atualizações para uma falha de injeção de comandos de sistema operativo no FortiManager e FortiAnalyzer.
- Google: Disponibilizou o seu boletim de segurança de junho para Android e corrigiu uma falha "zero-day" ativamente explorada no Google Chrome.
- HPE: Lançou atualizações para corrigir oito vulnerabilidades que impactam o StoreOnce.
- Ivanti: Corrigiu três vulnerabilidades de alta severidade relacionadas com chaves codificadas no Workspace Control (IWC).
- Qualcomm: Lançou correções para três vulnerabilidades "zero-day" no driver do seu GPU Adreno, que estavam a ser exploradas em ataques direcionados.
- Roundcube: Atualizou o seu software para corrigir uma falha crítica de execução remota de código que já está a ser explorada.
- SAP: Lançou o seu Patch Day com várias correções, incluindo uma crítica por falta de verificação de autorização no SAP NetWeaver.
Nenhum comentário
Seja o primeiro!