Microsoft Patch Tuesday – Setembro 2025

A Microsoft lançou 86 novas correções de segurança no Patch Tuesday de setembro — incluindo algumas vulnerabilidades críticas, com pontuações CVSS elevadas que devem ser tratadas com prioridade.

Vulnerabilidades Críticas

Entre as correções deste mês, há 6 vulnerabilidades classificadas como críticas, com pontuação CVSS igual ou superior a 9.0. A mais grave delas é:

• CVE-2025-55232 (Microsoft High Performance Compute Pack – HPC Pack): pontuação CVSS 9.8, falha de execução remota de código com risco elevado de exploração.

Apesar de ser o único caso com nota máxima, também merecem atenção as seguintes vulnerabilidades com CVSS 8.8, também consideradas críticas:

• CVE-2025-55234 (Windows SMB) — possível exploração remota em comunicações de rede.
• CVE-2025-54918 (Windows NTLM) — risco elevado em autenticação de rede.
• CVE-2025-55227 (SQL Server) — impacta diretamente a segurança de ambientes corporativos.
• CVE-2025-54110 (Windows Kernel) — falha com alta probabilidade de exploração.
• CVE-2025-54098 (Role: Windows Hyper-V) — vulnerabilidade de elevação de privilégios em ambientes virtualizados.

Superfícies de Risco em Destaque

Além das críticas, várias áreas permanecem sob risco devido à concentração de vulnerabilidades:

• Serviços de rede e autenticação (como RRAS, SMB e NTLM): múltiplas CVEs de severidade média-alta (6.5–8.8).
• Componentes sensíveis do sistema (como Kernel, Firewall Service, LSASS, Hyper-V): falhas com variação de ponto de vista crítico e profunda sobreprivilegiamento.
• Pacote Microsoft Office (Excel, Word, PowerPoint, Visio): diversas vulnerabilidades entre 7.0 e 8.4, que podem ser exploradas via documentos maliciosos.

Recomendações de Implementação

1. Imediata prioridade aos patches com CVSS ≥ 8.8, especialmente para o HPC Pack (9.8) e os demais críticos (SMB, NTLM, SQL Server, Kernel e Hyper-V).
2. Aplicação rápida dos updates em ambientes de rede e virtualização, especialmente em sistemas que utilizem RRAS, Hyper-V ou compartilhamento SMB.
3. Estabelecer revisão dos componentes Office e conectividade, mitigando possíveis ataques baseados em engenharia social ou documentos maliciosos.
4. Verificar suporte e atualizações de servidores legados — como Windows Server 2008/2008 R2 — especialmente se estiver no fim do ciclo de vida e com necessidade de Extended Security Updates.
5. Acompanhar os stacks de manutenção (Servicing Stack Updates, conforme ADV990001) e as notas de lançamento aprimoradas (como o novo formato “What’s Next For Windows Release Notes”).

About The Author

André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Vinte anos de experiência com redes e segurança.

See author's posts