August 2025 Patch Tuesday fixes a Windows Kerberos Zero-Day

O Patch Tuesday de agosto de 2025 corrige um dia zero do Windows Kerberos

Por

O Patch Tuesday de agosto de 2025 corrige um dia zero do Windows Kerberos

As atualizações de segurança do Microsoft Patch Tuesday para agosto de 2025 corrigiram 107 falhas, incluindo um dia zero do Windows Kerberos divulgado publicamente.

As atualizações de segurança do Microsoft Patch Tuesday para agosto de 2025 corrigiram 107 vulnerabilidades no Windows e Windows Components, Office e Office Components, Microsoft Edge (baseado em Chromium), Azure, GitHub Copilot, Dynamics 365, SQL Server e Hyper-V Server.

12 vulnerabilidades são classificadas como Críticas, 93 são classificadas como Importantes, uma é classificada como Moderada e uma é classificada como Baixa em gravidade.

Uma das falhas, rastreada como CVE-2025-53779 (pontuação CVSS 7.2), é um dia zero do Windows Kerberos que foi divulgado publicamente. Um invasor autenticado pode acionar a vulnerabilidade para obter direitos de administrador de domínio por meio da passagem de caminho relativo.

“Um invasor que explorar com êxito essa vulnerabilidade poderá obter privilégios de administrador de domínio.” lê o comunicado. “Para explorar com sucesso essa vulnerabilidade, um invasor precisaria ter acesso elevado a certos atributos do dMSA, especificamente:

  • msds-ManagedAccountPrecededByLink: o invasor precisa de acesso de gravação a esse atributo, o que permite especificar um usuário em nome do qual a dMSA pode agir.”
  • msds-groupMSAMembership: Este atributo permite que o usuário utilize o dMSA.”

A vulnerabilidade mais grave abordada pela Microsoft é um estouro de buffer baseado em heap no Windows GDI+, rastreado como CVE-2025-53766 (pontuação CVSS de 9,8), que permite que um invasor não autorizado execute código em uma rede.

A falha pode ser explorada por meio de um metarquivo criado em um documento, potencialmente até mesmo por meio de uploads da web sem interação do usuário, apresentando cenários de alto risco.

“Um invasor não requer nenhum privilégio nos sistemas que hospedam os serviços da web. A exploração bem-sucedida dessa vulnerabilidade pode causar Execução Remota de Código ou Divulgação de Informações em serviços da Web que estão analisando documentos que contêm um meta-arquivo especialmente criado, sem o envolvimento de um usuário vítima.” lê o comunicado.

A lista completa de CVEs abordados pela Microsoft com o lançamento das atualizações de segurança do Patch Tuesday para agosto de 2025 está disponível aqui.

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPaganini

(Assuntos de Segurança–hacking,Patch Tuesday)