Na terça-feira, a Microsoft lançou correções para 63 falhas de segurança que afetam seus produtos de software, incluindo duas vulnerabilidades que, segundo a empresa, estão sendo exploradas ativamente.
Das 63 vulnerabilidades, três são classificadas como Críticas, 57 são classificadas como Importantes, uma é classificada como Moderada e duas são classificadas como Baixa em gravidade. Isso sem contar as 23 falhas que a Microsoft corrigiu em seu navegador Edge baseado em Chromium desde o lançamento da atualização Patch Tuesday do mês passado .
A atualização é notável por corrigir duas falhas exploradas ativamente –
- CVE-2025-21391 (pontuação CVSS: 7,1) – Vulnerabilidade de elevação de privilégio do Windows Storage
- CVE-2025-21418 (pontuação CVSS: 7,8) – Driver de função auxiliar do Windows para vulnerabilidade de elevação de privilégio do WinSock
“Um invasor só seria capaz de excluir arquivos alvo em um sistema”, disse a Microsoft em um alerta para CVE-2025-21391. “Esta vulnerabilidade não permite a divulgação de nenhuma informação confidencial, mas pode permitir que um invasor exclua dados que podem incluir dados que resultem na indisponibilidade do serviço.”
Mike Walters, presidente e cofundador da Action1, observou que a vulnerabilidade pode ser encadeada com outras falhas para aumentar privilégios e executar ações subsequentes que podem complicar os esforços de recuperação e permitir que os agentes de ameaças ocultem seus rastros excluindo artefatos forenses cruciais.
CVE-2025-21418, por outro lado, diz respeito a um caso de escalonamento de privilégios no AFD.sys que pode ser explorado para obter privilégios de SISTEMA.
Vale a pena notar que uma falha semelhante no mesmo componente (CVE-2024-38193) foi divulgada pela Gen Digital em agosto passado como sendo armada pelo Lazarus Group, ligado à Coreia do Norte. Em fevereiro de 2024, a gigante da tecnologia também corrigiu uma falha de escalonamento de privilégios do kernel do Windows (CVE-2024-21338) afetando o driver AppLocker (appid.sys) que também foi explorado pela equipe de hackers.
Essas cadeias de ataque se destacam porque vão além de um ataque tradicional do tipo Traga seu próprio driver vulnerável (BYOVD), aproveitando uma falha de segurança em um driver nativo do Windows, evitando assim a necessidade de introduzir outros drivers nos ambientes de destino.
Atualmente, não se sabe se o abuso do CVE-2025-21418 também está vinculado ao Lazarus Group. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou ambas as falhas ao seu catálogo de Vulnerabilidades Exploradas Conhecidas ( KEV ), exigindo que as agências federais apliquem os patches até 4 de março de 2025.
A mais grave das falhas abordadas pela Microsoft na atualização deste mês é a CVE-2025-21198 (pontuação CVSS: 9,0), uma vulnerabilidade de execução remota de código (RCE) no High Performance Compute (HPC) Pack.
“Um invasor pode explorar essa vulnerabilidade enviando uma solicitação HTTPS especialmente criada para o nó principal ou nó de computação Linux alvo, concedendo a ele a capacidade de executar RCE em outros clusters ou nós conectados ao nó principal alvo”, disse a Microsoft.
Também vale a pena mencionar outra vulnerabilidade RCE ( CVE-2025-21376 , pontuação CVSS: 8.1) impactando o Windows Lightweight Directory Access Protocol (LDAP) que permite que um invasor envie uma solicitação especialmente criada e execute código arbitrário. No entanto, a exploração bem-sucedida da falha requer que o agente da ameaça vença uma condição de corrida.
“Considerando que o LDAP é parte integrante do Active Directory, que sustenta a autenticação e o controle de acesso em ambientes corporativos, um comprometimento pode levar a movimentação lateral, escalonamento de privilégios e violações generalizadas de rede”, disse Ben McCarthy, engenheiro-chefe de segurança cibernética da Immersive Labs.
Em outro lugar, a atualização também resolve uma vulnerabilidade de divulgação de hash NTLMv2 ( CVE-2025-21377 , pontuação CVSS: 6,5) que, se explorada com sucesso, pode permitir que um invasor se autentique como o usuário visado.
Patches de software de outros fornecedores
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir diversas vulnerabilidades, incluindo —