Patches críticos emitidos para produtos da Microsoft, 11 de março de 2025

Por

NÚMERO DO AVISO MS-ISAC:

2025-022

DATA(S) DE EMISSÃO:

03/11/2025

VISÃO GERAL:

Várias vulnerabilidades foram descobertas em produtos da Microsoft, a mais grave das quais pode permitir a execução remota de código no contexto do usuário conectado. Dependendo dos privilégios associados ao usuário, um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que aqueles que operam com direitos de usuário administrativos.

INTELIGÊNCIA DE AMEAÇAS:

A Microsoft relatou que CVE-2025-24983, CVE-2025-24984, CVE-2025-24985, CVE-2025-24991, CVE-2025-24993 e CVE-2025-26633 foram explorados na natureza.

17 de abril – INTELIGÊNCIA DE AMEAÇAS ATUALIZADA:

Há relatos de que o CVE-2025-24054 foi explorado ativamente desde 19 de março de 2025. O CVE-2025-24054 permite que invasores vazem hashes NTLM ou senhas de usuário e comprometam sistemas.

SISTEMAS AFETADOS:

  • .REDE
  • ASP.NET Core e Visual Studio
  • Instalador do Azure Agent
  • Azure Arc
  • Azure CLI
  • Fluxo de Prompts do Azure
  • Driver de serviço WOW Thunk de streaming de kernel
  • Microsoft Edge (baseado em Chromium)
  • Servidor de Autoridade de Segurança Local da Microsoft (lsasrv)
  • Console de Gerenciamento Microsoft
  • Escritório da Microsoft
  • Acesso ao Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office Word
  • Serviço de Streaming da Microsoft
  • Microsoft Windows
  • Cliente de Área de Trabalho Remota
  • Função: Servidor DNS
  • Função: Windows Hyper-V
  • Visual Studio
  • Código do Visual Studio
  • Driver do sistema de arquivos de log comum do Windows
  • Serviço entre dispositivos do Windows
  • Sistema de arquivos exFAT do Windows
  • Driver FAT rápido do Windows
  • Explorador de Arquivos do Windows
  • Memória do kernel do Windows
  • Drivers do modo kernel do Windows
  • Windows MapUrlToZone
  • Marca do Windows da Web (MOTW)
  • Windows NTFS
  • Windows NTLM
  • Serviços de Área de Trabalho Remota do Windows
  • RRAS (Serviço de Roteamento e Acesso Remoto) do Windows
  • Subsistema Windows para Linux
  • Servidor de telefonia do Windows
  • Driver de vídeo USB do Windows
  • Subsistema de kernel do Windows Win32

RISCO:

Governo:

Grandes e médias entidades governamentaisALTO

Governo pequenoMÉDIA

Empresas:

Entidades de grandes e médias empresasALTO

Entidades de pequenas empresasMÉDIA

RESUMO TÉCNICO:

Várias vulnerabilidades foram descobertas em produtos da Microsoft, a mais grave das quais pode permitir a execução remota de código.

Uma lista completa de todas as vulnerabilidades pode ser encontrada no link da Microsoft na seção Referências.

A exploração bem-sucedida da mais grave dessas vulnerabilidades pode resultar em um invasor obtendo os mesmos privilégios que o usuário conectado. Dependendo dos privilégios associados ao usuário, um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que aqueles que operam com direitos de usuário administrativos.

RECOMENDAÇÕES:

Recomendamos que as seguintes ações sejam tomadas:

  • Aplique patches apropriados ou mitigações apropriadas fornecidas pela Microsoft a sistemas vulneráveis imediatamente após o teste apropriado. (M1051: Atualizar software)
  • Salvaguarda 7.1: Estabelecer e manter um processo de gerenciamento de vulnerabilidades: Estabelecer e manter um processo documentado de gerenciamento de vulnerabilidades para ativos corporativos. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta Salvaguarda.
  • Safeguard 7.4: Execute o gerenciamento automatizado de patches de aplicativos:Execute atualizações de aplicativos em ativos corporativos por meio do gerenciamento automatizado de patches mensalmente ou com mais frequência.
  • Aplique o Princípio do Menor Privilégio a todos os sistemas e serviços e execute todos os softwares como um usuário sem privilégios (sem direitos administrativos) para diminuir os efeitos de um ataque bem-sucedido. (M1026: Gerenciamento de contas privilegiadas)
  • Salvaguarda 4.7: Gerenciar contas padrão em Ativos e software corporativos:Gerencie contas padrão em ativos e software corporativos, como raiz, administrador e outras contas de fornecedores pré-configuradas. Exemplos de implementações podem incluir: desabilitar contas padrão ou torná-las inutilizáveis.
  • Salvaguarda 5.4: Restringir privilégios de administrador a contas de administrador dedicadas:Restrinja os privilégios de administrador a contas de administrador dedicadas em ativos corporativos. Realize atividades gerais de computação, como navegação na Internet, e-mail e uso do pacote de produtividade, a partir da conta principal e sem privilégios do usuário.
  • Lembre a todos os usuários de não visitar sites não confiáveis ou seguir links/arquivos abertos fornecidos por fontes desconhecidas ou não confiáveis. (M1017: Treinamento de usuários)
  • Salvaguarda 14.1: Estabelecer e manter um programa de conscientização de segurança:Estabeleça e mantenha um programa de conscientização de segurança. O objetivo de um programa de conscientização de segurança é educar a força de trabalho da empresa sobre como interagir com ativos e dados corporativos de maneira segura. Realize treinamento na contratação e, no mínimo, anualmente. Revise e atualize o conteúdo anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta Proteção.
  • Salvaguarda 14.2: Treinar membros da força de trabalho para reconhecer ataques de engenharia social: Treine os membros da força de trabalho para reconhecer ataques de engenharia social, como phishing, pré-mensagens de texto e utilização não autorizada.
  • Use recursos para evitar que padrões de comportamento suspeitos ocorram em sistemas de endpoint. Isso pode incluir comportamento suspeito de processo, arquivo, chamada de API etc. (M1040: Prevenção de comportamento no endpoint)
  • Salvaguarda 13.2 : Implantar uma solução de detecção de intrusão baseada em host: Implante uma solução de detecção de intrusão baseada em host em ativos corporativos, quando apropriado e/ou com suporte.
  • Salvaguarda 13.7: Implantar uma solução de prevenção de intrusão baseada em host:Implante uma solução de prevenção de intrusão baseada em host em ativos corporativos, quando apropriado e/ou com suporte. Exemplos de implementações incluem o uso de um cliente EDR (Detecção e Resposta de Ponto de Extremidade) ou agente IPS baseado em host.

REFERÊNCIAS:

17 de abril – REFERÊNCIAS ATUALIZADAS: Help Net Security

Datalake – Azaeo:

TXT | JSON | JSONLD | XML | HTML | PDF