Na atualização de novembro de 2025, a Microsoft lançou correções para 63 vulnerabilidades em seus produtos, incluindo um zero-day já explorado em ambiente real: CVE-2025-62215, um problema de elevação de privilégios no kernel do Windows. Quatro falhas foram classificadas como Critical e 59 como Important.
Além disso, a empresa já vinha tratando 27 vulnerabilidades no navegador Edge desde o Patch Tuesday de outubro de 2025.
O zero-day no kernel: como funciona e por que importa
A CVE-2025-62215 é um race condition no Windows Kernel que permite a elevação de privilégios localmente. Em termos práticos, um atacante com acesso local de baixa credencial pode executar um binário especialmente criado que tenta explorar essa condição de corrida repetidamente. Se o ataque tiver sucesso, o invasor pode obter privilégios SYSTEM.
Ben McCarthy (Immersive) descreveu o ataque como uma tentativa de causar um double free no heap do kernel, corrompendo a memória e possibilitando o controle do fluxo de execução. Satnam Narang (Tenable) e a própria Microsoft apontam que a exploração faz sentido como etapa de pós-exploração: primeiro o invasor ganha uma presença local (por phishing, exploração remota prévia, ou engenharia social) e depois usa esse bug para escalar privilégios.
Portanto, organizações devem priorizar a correção em máquinas onde usuários podem executar binários locais — servidores de terminal, estações de trabalho com acesso remoto e ambientes de desenvolvimento são exemplos claros de risco.
Outras vulnerabilidades de alto impacto
Entre as 63 falhas, destacam-se duas vulnerabilidades de remote code execution por overflow em componentes gráficos: CVE-2025-60724 (Graphics Component, CVSS 9.8) e CVE-2025-62220 (Windows Subsystem for Linux GUI, CVSS 8.8). Essas falhas podem permitir execução remota de código sem necessidade prévia de acesso local, aumentando o vetor de ataque.
Além disso, há uma falha relevante no Kerberos (CVE-2025-60704, CVSS 7.5), apelidada de CheckSum pelos pesquisadores da Silverfort. Essa vulnerabilidade explora a ausência de um passo criptográfico em fluxos de delegação e pode permitir que um atacante, posicionado no caminho lógico da rede, realize um ataque adversary-in-the-middle (AitM) para ler ou modificar comunicações e — em seguida — impersonar usuários. Eliran Partush e Dor Segal alertam que ambientes Active Directory com delegação Kerberos ativada estão particularmente expostos. Assim, qualquer organização que use essa funcionalidade deve avaliar seu risco imediatamente.
Implicações para defesa e resposta
Primeiro: aplicar os patches. Isso inclui atualizações do kernel, componentes gráficos, WSLg e correções específicas de Kerberos. Em segundo lugar, reforçar detecção e resposta: monitore tentativas de escalonamento de privilégio e atividade anômala relacionada a chamadas de kernel e carregamento de drivers. Além disso, considere as seguintes ações práticas:
-
Isolar hosts críticos enquanto aplicam patches.
-
Revisar configurações de delegação Kerberos e desabilitar onde não for estritamente necessário.
-
Implementar proteção contra execução de binários não autorizados (whitelisting) em endpoints sensíveis.
-
Aumentar a visibilidade de processos que fazem muitas threads ou operações concorrentes em recursos do kernel; isso pode ajudar a detectar tentativas de explorar race conditions.
-
Revisar logs e alertas por possíveis cadeias de exploração (RCE → sandbox escape → kernel escalation).
Recomendações finais para equipes de segurança
Não trate esse Patch Tuesday apenas como mais uma rotina mensal. A presença de um zero-day explorado (CVE-2025-62215) e de bugs de RCE críticos impõe uma priorização por risco: comece por servidores expostos, estações com privilégios elevados e pontos de ingresso (ex.: web apps e e-mail). Ademais, coordene equipes de TI e operações para testar atualizações em ambientes controlados antes de implantar em massa, reduzindo o risco de regressões.
Por último, lembre que muitos ataques atuais seguem o padrão chain-of-exploit: um vetor remoto inicial (phishing ou RCE) seguido por exploração local para elevar privilégios e movimentar-se lateralmente. Portanto, combine correção de vulnerabilidades com controles preventivos (MFA, segmentação, EDR) e capacidades de detecção para diminuir a janela de exploração.
About The Author
