Julho 9, 2025
Rico Olivetti Desenvolvimento, Hackers

Microsoft corrige 130 vulnerabilidades, incluindo falhas críticas no SPNEGO e no SQL Server

Pela primeira vez em 2025, as atualizações do Patch Tuesday da Microsoft não incluíram correções para vulnerabilidades de segurança exploradas, mas a empresa reconheceu que uma das falhas corrigidas era de conhecimento público.

Os patches resolvem impressionantes 130 vulnerabilidades , juntamente com 10 outros CVEs não relacionados à Microsoft que afetam o Visual Studio, a AMD e seu navegador Edge baseado em Chromium. Destas, 10 são classificadas como Críticas e as demais como Importantes em termos de gravidade.

“A sequência de 11 meses de correção de pelo menos um zero-day que foi explorado na prática terminou este mês”, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable.

Cinquenta e três dessas deficiências são classificadas como bugs de escalonamento de privilégios, seguidas por 42 como execução remota de código, 17 como divulgação de informações e 8 como desvios de recursos de segurança. Esses patches se somam a outras duas falhas corrigidas pela empresa no navegador Edge desde o lançamento da atualização Patch Tuesday do mês passado .

A vulnerabilidade listada como publicamente conhecida é uma falha de divulgação de informações no Microsoft SQL Server ( CVE-2025-49719 , pontuação CVSS: 7,5) que pode permitir que um invasor não autorizado vaze memória não inicializada.

“Um invasor pode muito bem não aprender nada de valor, mas com sorte, persistência ou alguma manipulação muito astuta do exploit, o prêmio pode ser material de chave criptográfica ou outras joias da coroa do SQL Server”, disse Adam Barnett, engenheiro-chefe de software da Rapid7, em um comunicado.

Mike Walters, presidente e cofundador da Action1, disse que a falha provavelmente é resultado de validação de entrada inadequada no gerenciamento de memória do SQL Server, permitindo acesso à memória não inicializada.

“Como resultado, os invasores conseguiram recuperar resquícios de dados confidenciais, como credenciais ou strings de conexão”, acrescentou Walters. “Isso afeta tanto o mecanismo do SQL Server quanto os aplicativos que usam drivers OLE DB.”

A falha mais crítica corrigida pela Microsoft como parte das atualizações deste mês diz respeito a um caso de execução remota de código que impactou o SPNEGO Extended Negotiation ( NEGOEX ). Rastreada como CVE-2025-47981 , ela possui uma pontuação CVSS de 9,8 de 10,0.

“O estouro de buffer baseado em heap no SPNEGO Extended Negotiation do Windows permite que um invasor não autorizado execute código em uma rede”, afirmou a Microsoft em um comunicado. “Um invasor pode explorar essa vulnerabilidade enviando uma mensagem maliciosa ao servidor, o que pode levar à execução remota de código.”

Um pesquisador anônimo e Yuki Chen foram creditados pela descoberta e correção da falha. A Microsoft observou que o problema afeta apenas máquinas clientes Windows com Windows 10, versão 1607 e superior, devido ao Objeto de Política de Grupo ( GPO ) “Segurança de rede: Permitir que solicitações de autenticação PKU2U para este computador usem identidades online” estar habilitado por padrão.

“Como sempre, a Execução Remota de Código é ruim, mas análises iniciais sugerem que essa vulnerabilidade pode ser ‘wormable’ — o tipo de vulnerabilidade que pode ser aproveitada em malware autopropagante e fazer com que muitos relembrem o trauma do incidente WannaCry”, disse o fundador e CEO da watchTowr, Benjamin Harris.

A Microsoft é clara sobre os pré-requisitos: não é necessária autenticação, apenas acesso à rede, e a própria Microsoft acredita que a exploração é ‘Mais Provável’. Não devemos nos enganar: se a indústria privada percebeu essa vulnerabilidade, ela certamente já está no radar de qualquer invasor com um pingo de malícia. Os defensores precisam largar tudo, aplicar patches rapidamente e caçar os sistemas expostos.

Outras vulnerabilidades importantes incluem falhas de execução remota de código que afetam o Windows KDC Proxy Service ( CVE-2025-49735 , pontuação CVSS: 8.1), Windows Hyper-V ( CVE-2025-48822 , pontuação CVSS: 8.6) e Microsoft Office ( CVE-2025-49695 , CVE-2025-496966 e CVE-2025-49697 , pontuações CVSS: 8.4).

“O que torna o CVE-2025-49735 significativo é a exposição da rede, combinada à ausência de privilégios ou interação do usuário. Apesar da alta complexidade do ataque, a vulnerabilidade abre caminho para comprometimento remoto pré-autenticação, particularmente atraente para APTs e agentes estatais”, afirmou Ben McCarthy, Engenheiro-Chefe de Segurança Cibernética da Immersive.

O invasor precisa vencer uma condição de corrida – uma falha de tempo em que a memória é liberada e realocada em uma janela específica – o que significa que a confiabilidade é baixa por enquanto. Ainda assim, esses problemas podem ser transformados em armas com técnicas como a preparação de heap, tornando possível uma eventual exploração.

Em outro lugar, a atualização fecha cinco desvios de recursos de segurança no Bitlocker ( CVE-2025-48001 , CVE-2025-48003 , CVE-2025-48800 , CVE-2025-48804 e CVE-2025-48818 , pontuações CVSS: 6,8) que podem permitir que um invasor com acesso físico ao dispositivo obtenha dados criptografados.

“Um invasor pode explorar essa vulnerabilidade carregando um arquivo WinRE.wim enquanto o volume do sistema operacional estiver desbloqueado, concedendo acesso aos dados criptografados do BitLocker”, disse a Microsoft sobre o CVE-2025-48804.

Os pesquisadores Netanel Ben Simon e Alon Leviev, da Microsoft Offensive Research and Security Engineering (MORSE), foram reconhecidos por relatar os cinco problemas na ferramenta de criptografia de disco integrada.

“Se exploradas, essas falhas podem expor arquivos e credenciais confidenciais ou permitir adulterações na integridade do sistema”, disse Jacob Ashdown, engenheiro de segurança cibernética da Immersive. “Isso representa um risco particular, especialmente para organizações onde dispositivos podem ser perdidos ou roubados, pois invasores com acesso direto podem potencialmente contornar a criptografia e extrair dados confidenciais.”

Também vale a pena notar que 8 de julho de 2025 marca oficialmente o fim da linha para o SQL Server 2012, que não receberá mais nenhum patch de segurança futuro na lista do programa Extended Security Update (ESU) que está chegando ao fim.

Patches de software de outros fornecedores

Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir diversas vulnerabilidades, incluindo —

Fonte: The Hacker News