Microsoft corrige vulnerabilidade crítica e garante novo patch para Windows 10

A Microsoft lançou correções de segurança para cerca de 125 vulnerabilidades nos seus produtos, entre as quais se destaca uma falha crítica no Windows Common Log File System (CLFS). A vulnerabilidade, classificada como “ativamente explorada” e conhecida como uma vulnerabilidade de zero day, permite que atacantes com acesso local obtenham privilégios de sistema, sendo considerada uma das mais preocupantes deste ciclo de atualizações.

A vulnerabilidade CVE-2025-29824 baseia-se num bug de use-after-free e tem uma pontuação de gravidade CVSS de 7,8 em 10. Requer apenas privilégios de baixo nível e nenhuma interação do utilizador, o que aumenta significativamente o seu potencial de exploração. A Microsoft identificou internamente o problema, o que indica que a ameaça já estaria a ser utilizada por grupos especializados em ciberataques.

Apesar do alerta e da distribuição de atualizações para várias versões do Windows, a Microsoft confirmou que o patch para o Windows 10 ainda não está pronto. A correção será enviada numa data futura, o que deixa um número significativo de sistemas temporariamente vulneráveis, caso não existam outras medidas de mitigação.

Segundo documentação adicional da empresa, a falha tem sido explorada por um grupo de ransomware identificado como Storm-2460, que utilizou o malware PipeMagic para realizar os ataques. Os alvos têm sido organizações de diferentes setores e geografias, incluindo tecnologias da informação e imobiliário nos Estados Unidos, setor financeiro na Venezuela, uma empresa de software em Espanha e o retalho na Arábia Saudita.

O subsistema CLFS já tem sido fonte de preocupação para a Microsoft. Nos últimos anos, foram documentadas pelo menos 26 vulnerabilidades nesta componente, responsável pelo registo de dados e eventos no Windows. Para reforçar a segurança, a empresa planeia introduzir códigos de autenticação de mensagens baseados em hash (HMAC), com o objetivo de evitar modificações não autorizadas nos ficheiros de log e reduzir a superfície de ataque.

Além da vulnerabilidade no CLFS, a Microsoft solucionou uma falha crítica no Hyper-V, relacionada com corrupção de memória use-after-free. Esta vulnerabilidade pode permitir a execução remota de código em redes, caso um atacante esteja autorizado. Foram também corrigidas falhas nos Serviços de Área de Trabalho Remota e no Microsoft Excel, todas com potencial de execução de código malicioso.

O pacote de produtividade Microsoft Office recebeu atualizações destinadas a mitigar caminhos críticos de execução remota de código. O Excel, em particular, foi alvo de uma grande reforma de segurança que resolveu pelo menos três vulnerabilidades relevantes. A Microsoft alertou para os riscos associados, que podiam permitir ataques com impacto elevado.

Em paralelo com a Microsoft, a Adobe publicou o seu próprio conjunto de atualizações de segurança, cobrindo 54 falhas documentadas. Os produtos afetados incluem ColdFusion, FrameMaker, Photoshop e Adobe Commerce. A empresa destacou a urgência de aplicar as correções para ColdFusion, onde pelo menos 15 vulnerabilidades permitiam leitura arbitrária de ficheiros, execução de código e contorno de mecanismos de segurança.