Patch Tuesday de Novembro 2025: Microsoft corrige Zero-Day crítico (CVE-2025-62215) explorado ativamente

novembro 28, 2025 Ornit0h4ck Microsoft, Vulnerabilidades, Zero-Day 0

Alerta de Segurança: Atualização Obrigatória para Windows

A Microsoft liberou nesta semana, em seu ciclo de atualizações de novembro de 2025 (Patch Tuesday), correções para 63 vulnerabilidades de segurança. O destaque crítico é a correção de uma falha Zero-Day que já estava sendo explorada ativamente por hackers antes mesmo da correção estar disponível.

A Vulnerabilidade Zero-Day: CVE-2025-62215

A falha mais grave, catalogada como CVE-2025-62215, afeta o Windows Kernel e permite a Elevação de Privilégio (EoP). Isso significa que um atacante que já tenha acesso limitado a uma máquina (por exemplo, através de um phishing comum) pode usar essa falha para ganhar poderes de Administrador ou SYSTEM, assumindo controle total do dispositivo.

Além desta, a atualização corrige a CVE-2025-60724, uma falha crítica de Execução Remota de Código (RCE) no Componente Gráfico da Microsoft, com pontuação CVSS de 9.8 (escala máxima de gravidade). Esta falha pode ser explorada apenas visualizando uma imagem maliciosa ou visitando um site comprometido.

Impacto Corporativo e Riscos

A exploração ativa dessas falhas coloca em risco servidores Windows Server 2022/2025 e estações de trabalho Windows 10 e 11. Grupos de espionagem cibernética (APTs) costumam utilizar essas falhas de kernel para persistir em redes corporativas por meses sem serem detectados.

Lista de Produtos Afetados

A atualização de novembro cobre correções para:

  • Windows 10, 11 e Server 2025.
  • Microsoft Office (Excel, Word, SharePoint).
  • SQL Server e Azure Monitor Agent.
  • Visual Studio e .NET Framework.

Recomendação Técnica

A recomendação da CISA e de especialistas em segurança é a aplicação dos patches em até 48 horas para ambientes expostos à internet e 7 dias para redes internas. O uso de ferramentas de gerenciamento de vulnerabilidades para escanear a rede em busca de versões desatualizadas do Windows Graphics Component é essencial.

Fontes e Referências:
A análise técnica completa dos patches pode ser vista no Blog da Splashtop (Patch Tuesday Nov 2025) e nos boletins oficiais do Microsoft Security Response Center.

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será publicado.


*