Patches críticos emitidos para produtos da Microsoft, 8 de abril de 2025

Por

NÚMERO DO AVISO MS-ISAC:

2025-036

DATA(S) DE EMISSÃO:

04/08/2025

VISÃO GERAL:

Várias vulnerabilidades foram descobertas em produtos da Microsoft, a mais grave das quais pode permitir a execução remota de código no contexto do usuário conectado. Dependendo dos privilégios associados ao usuário, um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que aqueles que operam com direitos de usuário administrativos.

INTELIGÊNCIA DE AMEAÇAS:

Atualmente, não há relatos dessas vulnerabilidades sendo exploradas na natureza.

SISTEMAS AFETADOS:

  • Código do Visual Studio
  • Serviço de Gerenciamento de Armazenamento Baseado em Padrões do Windows
  • LSA (Autoridade de Segurança Local) do Windows
  • Windows NTFS
  • RRAS (Serviço de Roteamento e Acesso Remoto) do Windows
  • Pilha do Windows Update
  • Serviço de Telefonia do Windows
  • Biblioteca principal do Windows DWM
  • Microsoft Edge (baseado em Chromium)
  • Azure Local Cluster
  • Windows Hello
  • Windows BitLocker
  • Driver de impressão USB do Windows
  • Mídia Digital do Windows
  • Serviços Criptográficos do Windows
  • Escritório da Microsoft
  • Windows Kerberos
  • Windows Kernel
  • Canal Seguro do Windows
  • Gerenciador de Sessão Local (LSM) do Windows
  • Windows LDAP – Lightweight Directory Access Protocol
  • upnphost.dll do Windows
  • Mídia do Windows
  • Serviços de Área de Trabalho Remota do Windows
  • Subsistema Windows para Linux
  • Windows Defender WDAC (Controle de Aplicativo)
  • Serviço de mapeador de ponto de extremidade RPC
  • Windows Win32K – GRFX
  • ASP.NET Núcleo
  • Windows TCP/IP
  • Disco rígido virtual da Microsoft
  • Serviço de Streaming da Microsoft
  • Marca do Windows da Web (MOTW)
  • Windows HTTP.sys
  • Serviço de Gateway de Área de Trabalho Remota
  • Host de dispositivo UPnP (Plug and Play) universal do Windows
  • Cliente de Área de Trabalho Remota
  • Azure Local
  • Serviço Bluetooth do Windows
  • Windows Hyper-V
  • Instalador do Windows
  • Drivers do modo kernel do Windows
  • Windows Shell
  • OpenSSH para Windows
  • Enclave de segurança baseada em virtualização (VBS) do Windows
  • Coordenador de Dependência de Energia do Windows
  • Mapeamento de zona de segurança do Windows
  • ReFS (Sistema de Arquivos Resiliente do Windows)
  • Serviços de Certificados do Windows Active Directory
  • Centro do Sistema
  • Microsoft Office Word
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Edge para iOS
  • Microsoft AutoUpdate (MAU)
  • Visual Studio
  • Ferramentas do Visual Studio para Aplicativos e SQL Server Management Studio
  • Outlook para Android
  • Serviços de Domínio Active Directory
  • Banda larga móvel do Windows
  • Memória do kernel do Windows
  • Power Automate
  • Azure Portal Windows Admin Center
  • Central de Negócios do Dynamics
  • Microsoft Office OneNote
  • Driver do sistema de arquivos de log comum do Windows

RISCO:

Governo:

Grandes e médias entidades governamentaisALTO

Governo pequenoMÉDIA

Empresas:

Entidades de grandes e médias empresasALTO

Entidades de pequenas empresasMÉDIA

RESUMO TÉCNICO:

Várias vulnerabilidades foram descobertas em produtos da Microsoft, a mais grave das quais pode permitir a execução remota de código.

Uma lista completa de todas as vulnerabilidades pode ser encontrada no link da Microsoft na seção Referências.

A exploração bem-sucedida da mais grave dessas vulnerabilidades pode resultar em um invasor obtendo os mesmos privilégios que o usuário conectado. Dependendo dos privilégios associados ao usuário, um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que aqueles que operam com direitos de usuário administrativos.

RECOMENDAÇÕES:

Recomendamos que as seguintes ações sejam tomadas:

  • Aplique patches apropriados ou mitigações apropriadas fornecidas pela Microsoft a sistemas vulneráveis imediatamente após o teste apropriado. (M1051: Atualizar software)
  • Salvaguarda 7.1: Estabelecer e manter um processo de gerenciamento de vulnerabilidades: Estabelecer e manter um processo documentado de gerenciamento de vulnerabilidades para ativos corporativos. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta Salvaguarda.
  • Safeguard 7.4: Execute o gerenciamento automatizado de patches de aplicativos:Execute atualizações de aplicativos em ativos corporativos por meio do gerenciamento automatizado de patches mensalmente ou com mais frequência.
  • Aplique o Princípio do Menor Privilégio a todos os sistemas e serviços e execute todos os softwares como um usuário sem privilégios (sem direitos administrativos) para diminuir os efeitos de um ataque bem-sucedido. (M1026: Gerenciamento de contas privilegiadas)
  • Salvaguarda 4.7: Gerenciar contas padrão em ativos e software corporativos:Gerencie contas padrão em ativos e software corporativos, como raiz, administrador e outras contas de fornecedores pré-configuradas. Exemplos de implementações podem incluir: desabilitar contas padrão ou torná-las inutilizáveis.
  • Salvaguarda 5.4: Restringir privilégios de administrador a contas de administrador dedicadas:Restrinja os privilégios de administrador a contas de administrador dedicadas em ativos corporativos. Realize atividades gerais de computação, como navegação na Internet, e-mail e uso do pacote de produtividade, a partir da conta principal e sem privilégios do usuário.
  • Lembre a todos os usuários de não visitar sites não confiáveis ou seguir links/arquivos abertos fornecidos por fontes desconhecidas ou não confiáveis. (M1017: Treinamento de usuários)
  • Salvaguarda 14.1: Estabelecer e manter um programa de conscientização de segurança:Estabeleça e mantenha um programa de conscientização de segurança. O objetivo de um programa de conscientização de segurança é educar a força de trabalho da empresa sobre como interagir com ativos e dados corporativos de maneira segura. Realize treinamento na contratação e, no mínimo, anualmente. Revise e atualize o conteúdo anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta Proteção.
  • Salvaguarda 14.2: Treinar membros da força de trabalho para reconhecer ataques de engenharia social: Treine os membros da força de trabalho para reconhecer ataques de engenharia social, como phishing, pré-mensagens de texto e utilização não autorizada.
  • Use recursos para evitar que padrões de comportamento suspeitos ocorram em sistemas de endpoint. Isso pode incluir comportamento suspeito de processo, arquivo, chamada de API etc. (M1040: Prevenção de comportamento no endpoint)
  • Salvaguarda 13.2 : Implantar uma solução de detecção de intrusão baseada em host: Implante uma solução de detecção de intrusão baseada em host em ativos corporativos, quando apropriado e/ou com suporte.
  • Salvaguarda 13.7: Implantar uma solução de prevenção de intrusão baseada em host:Implante uma solução de prevenção de intrusão baseada em host em ativos corporativos, quando apropriado e/ou com suporte. Exemplos de implementações incluem o uso de um cliente EDR (Detecção e Resposta de Ponto de Extremidade) ou agente IPS baseado em host.

Datalake – Azaeo:

TXT | JSON | JSONLD | XML | HTML | PDF