A Microsoft Corp. emitiu hoje atualizações de segurança para corrigir mais de 80 vulnerabilidades em seus sistemas operacionais e software Windows. Não há vulnerabilidades conhecidas de “dia zero” ou exploradas ativamente no pacote deste mês de Redmond, que, no entanto, inclui patches para 13 falhas que ganharam o rótulo de “crítico” mais terrível da Microsoft. Enquanto isso, a Apple e o Google lançaram recentemente atualizações para corrigir bugs de dia zero em seus dispositivos.
A Microsoft atribui às falhas de segurança uma classificação “crítica” quando malware ou malfeitores podem explorá-las para obter acesso remoto a um sistema Windows com pouca ou nenhuma ajuda dos usuários. Entre os bugs críticos mais preocupantes anulados este mês está o CVE-2025-54918. O problema aqui reside no Windows NTLM ou NT LAN Manager, um conjunto de código para gerenciar a autenticação em um ambiente de rede Windows.
Redmond classifica essa falha como “Exploração mais provável” e, embora esteja listada como uma vulnerabilidade de escalonamento de privilégios, Kev Breen, da Immersive, diz que essa é realmente explorável pela rede ou pela Internet.
“A partir da descrição limitada da Microsoft, parece que, se um invasor for capaz de enviar pacotes especialmente criados pela rede para o dispositivo de destino, ele terá a capacidade de obter privilégios de nível de sistema na máquina de destino”, disse Breen. “As notas de patch para esta vulnerabilidade afirmam que ‘A autenticação inadequada no Windows NTLM permite que um invasor autorizado eleve privilégios em uma rede’, sugerindo que um invasor já pode precisar ter acesso ao hash NTLM ou às credenciais do usuário.”
Breen disse que outro patch – CVE-2025-55234, uma falha com pontuação CVSS de 8,8 que afeta o cliente Windows SMB para compartilhar arquivos em uma rede – também está listado como bug de escalonamento de privilégios, mas também pode ser explorado remotamente. Essa vulnerabilidade foi divulgada publicamente antes deste mês.
“A Microsoft diz que um invasor com acesso à rede seria capaz de realizar um ataque de repetição contra um host de destino, o que poderia resultar na obtenção de privilégios adicionais, o que poderia levar à execução do código”, observou Breen.
CVE-2025-54916 é uma vulnerabilidade “importante” no Windows NTFS – o sistema de arquivos padrão para todas as versões modernas do Windows – que pode levar à execução remota de código. A Microsoft também acha que é mais do que provável que vejamos a exploração desse bug em breve: a última vez que a Microsoft corrigiu um bug NTFS foi em março de 2025 e já estava sendo explorado como um dia zero.
“Embora o título do CVE diga ‘Execução Remota de Código’, essa exploração não pode ser explorada remotamente pela rede, mas precisa que um invasor tenha a capacidade de executar código no host ou convencer um usuário a executar um arquivo que acionaria a exploração”, disse Breen. “Isso é comumente visto em ataques de engenharia social, onde eles enviam ao usuário um arquivo para abrir como anexo ou um link para um arquivo para baixar e executar.”
Bugs críticos e de execução remota de código tendem a roubar todos os holofotes, mas o engenheiro de pesquisa sênior da Tenable, Satnam Narang, observa que quase metade de todas as vulnerabilidades corrigidas pela Microsoft este mês são falhas de escalonamento de privilégios que exigem que um invasor tenha acesso a um sistema de destino antes de tentar elevar os privilégios.
“Pela terceira vez este ano, a Microsoft corrigiu mais vulnerabilidades de elevação de privilégio do que falhas de execução remota de código”, observou Narang.
Em 3 de setembro, o Google corrigiu duas falhas que foram detectadas como exploradas em ataques de dia zero, incluindo CVE-2025-38352, uma elevação de privilégio no kernel do Android, e CVE-2025-48543, também um problema de elevação de privilégio no componente Android Runtime.
Além disso, a Apple corrigiu recentemente seu sétimo dia zero (CVE-2025-43300) deste ano. Fazia parte de uma cadeia de exploração usada junto com uma vulnerabilidade no WhatsApp (CVE-2025-55177) A Anistia Internacional relata que os dois zero-days foram usados em “uma campanha avançada de spyware” nos últimos 90 dias. O problema foi corrigido no iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 e macOS Ventura 13.7.8.
O SANS Internet Storm Center tem um detalhamento clicável de cada correção individual da Microsoft, indexado por gravidade e pontuação CVSS. Os administradores corporativos do Windows envolvidos no teste de patches antes de lançá-los devem ficar de olho no askwoody.com, que geralmente tem o magro em atualizações instáveis.
O AskWoody também nos lembra que estamos a apenas dois meses da Microsoft descontinuar as atualizações de segurança gratuitas para computadores com Windows 10. Para aqueles interessados em estender com segurança a vida útil e a utilidade dessas máquinas mais antigas, confira a cobertura do Patch Tuesday do mês passado para obter algumas dicas.
Como sempre, não deixe de fazer backup de seus dados (se não de todo o sistema) em intervalos regulares e sinta-se à vontade para falar nos comentários se tiver problemas para instalar qualquer uma dessas correções.
Referência: https://krebsonsecurity.com/2025/09/microsoft-patch-tuesday-september-2025-edition/
