Profissionais de segurança e administradores de sistemas estão em alerta máximo, pois Microsoft, Fortinet e Ivanti emitiram alertas de segurança críticos em relação a vulnerabilidades zero-day ativamente exploradas que afetam seus respectivos produtos. Essas vulnerabilidades representam um risco significativo para as organizações, podendo levar a acesso não autorizado, violações de dados e comprometimento do sistema. É altamente recomendável aplicar patches imediatos e implementar as soluções recomendadas para mitigar ameaças potenciais.
Patches da Microsoft Resolvem Vulnerabilidades Ativamente Exploradas e Divulgadas Publicamente
A recente versão de Patch Tuesday da Microsoft incluiu correções para um número preocupante de vulnerabilidades, incluindo cinco que já estão sendo ativamente exploradas, juntamente com duas vulnerabilidades zero-day divulgadas publicamente. As falhas ativamente exploradas representam uma séria ameaça, pois agentes maliciosos estão ativamente as utilizando para comprometer sistemas.
Vulnerabilidades Ativamente Exploradas em Detalhe
As seguintes vulnerabilidades foram identificadas como estando ativamente exploradas:
- Microsoft DWM Core Library (CVE-2025-30400): Esta vulnerabilidade na Desktop Window Manager (DWM) Core Library pode permitir que um invasor eleve seus privilégios para o nível SYSTEM. Isso significa que um invasor poderia obter controle total sobre o sistema afetado.
- Windows Common Log File System (CVE-2025-32701 e CVE-2025-32706): Duas vulnerabilidades separadas dentro do Windows Common Log File System (CLFS) também podem permitir que um invasor obtenha privilégios de nível SYSTEM. O CLFS é um serviço de registro de uso geral usado por vários componentes do Windows.
- Windows Ancillary Function Driver (CVE-2025-32709): Uma vulnerabilidade no Windows Ancillary Function Driver pode da mesma forma levar à elevação de privilégios para o nível SYSTEM.
- Microsoft Scripting Engine (CVE-2025-30397): Existe uma vulnerabilidade de corrupção de memória no Microsoft Scripting Engine que pode permitir que um invasor execute código arbitrário. Isso pode permitir que um invasor execute software malicioso no sistema afetado.
Vulnerabilidades Divulgadas Publicamente
Além das vulnerabilidades ativamente exploradas, a Microsoft também abordou duas vulnerabilidades zero-day divulgadas publicamente:
- Microsoft Defender (CVE-2025-26685): Existe uma vulnerabilidade de falsificação de identidade no Microsoft Defender que pode permitir que um invasor falsifique outra conta em uma rede adjacente.
- Visual Studio (CVE-2025-32702): Uma vulnerabilidade de execução remota de código no Visual Studio pode permitir que um invasor não autenticado execute código localmente.
Vulnerabilidades Críticas que Exigem Priorização
Além das falhas ativamente exploradas e divulgadas publicamente, a Microsoft também lançou patches para seis vulnerabilidades críticas que, embora não sejam atualmente conhecidas por serem exploradas, devem ser priorizadas para aplicação de patches. Essas vulnerabilidades afetam vários produtos da Microsoft, incluindo:
- Microsoft Office (CVE-2025-30377 e CVE-2025-30386): Duas vulnerabilidades críticas foram identificadas no Microsoft Office, potencialmente permitindo a execução remota de código.
- Microsoft Power Apps (CVE-2025-47733): Uma vulnerabilidade crítica foi descoberta no Microsoft Power Apps que pode levar a acesso não autorizado ou execução de código.
- Remote Desktop Gateway Service (CVE-2025-29967): Existe uma vulnerabilidade crítica no Remote Desktop Gateway Service que pode permitir que um invasor comprometa o sistema.
- Windows Remote Desktop (CVE-2025-29966): Uma vulnerabilidade crítica foi encontrada no Windows Remote Desktop, potencialmente levando à execução remota de código.
Fortinet Aborda Vulnerabilidade Crítica em Vários Produtos
A Fortinet lançou um aviso de segurança em relação a uma vulnerabilidade crítica que afeta vários de seus produtos, incluindo FortiVoice, FortiMail, FortiNDR, FortiRecorder e FortiCamera.
Esta vulnerabilidade, um estouro de buffer baseado em pilha, recebeu uma pontuação de severidade CVSS v4 de 9,6 (CVSS v3.1: 9,8), indicando sua alta severidade. A vulnerabilidade pode ser explorada remotamente por um invasor não autenticado enviando solicitações HTTP contendo um cookie hash especialmente criado. A exploração bem-sucedida pode levar à execução de código arbitrário, permitindo que um invasor assuma o controle total do dispositivo afetado.
Exploração Observada no FortiVoice
A Fortinet confirmou que observou a exploração ativa desta vulnerabilidade em dispositivos FortiVoice. Os invasores estão escaneando redes de dispositivos, apagando logs de falha do sistema e habilitando a depuração fcgi para capturar credenciais inseridas durante tentativas de login no sistema ou SSH.
Produtos e Versões Afetadas
A vulnerabilidade, rastreada como CVE-2025-32756, afeta as seguintes versões de produtos. É altamente recomendável atualizar imediatamente para as versões corrigidas especificadas:
- FortiVoice:
- 7.2.0: Atualize para 7.2.1 ou superior
- 7.0.0 até 7.0.6: Atualize para 7.0.7 ou superior
- 6.4.0 até 6.4.10: Atualize para 6.4.11 ou superior
- FortiRecorder:
- 7.2.0 até 7.2.3: Atualize para 7.2.4 ou superior
- 7.0.0 até 7.0.5: Atualize para 7.0.6 ou superior
- 6.4.0 até 6.4.5: Atualize para 6.4.6 ou superior
- FortiMail:
- 7.6.0 até 7.6.2: Atualize para 7.6.3 ou superior
- 7.4.0 até 7.4.4: Atualize para 7.4.5 ou superior
- 7.2.0 até 7.2.7: Atualize para 7.2.8 ou superior
- 7.0.0 até 7.0.8: Atualize para 7.0.9 ou superior
- FortiNDR:
- 7.6.0: Atualize para 7.6.1 ou superior
- 7.4.0 até 7.4.7: Atualize para 7.4.8 ou superior
- 7.2.0 até 7.2.4: Atualize para 7.2.5 ou superior
- 7.1: Migre para uma versão corrigida
- 7.0.0 até 7.0.6: Atualize para 7.0.7 ou superior
- 1.1 até 1.5: Migre para uma versão corrigida
- FortiCamera:
- 2.1.0 até 2.1.3: Atualize para 2.1.4 ou superior
- 2.0: Migre para uma versão corrigida
- 1.1: Migre para uma versão corrigida
Indicadores de Comprometimento e Etapas de Mitigação
A Fortinet forneceu indicadores de comprometimento (IOCs) em seu alerta de segurança para ajudar as organizações a detectar possíveis tentativas de exploração. Se a aplicação imediata de patches não for viável, a Fortinet recomenda desativar temporariamente a interface administrativa HTTP/HTTPS como uma medida de mitigação.
Ivanti Aborda Vulnerabilidades de Execução Remota de Código no Endpoint Manager Mobile
A Ivanti lançou um aviso de segurança abordando duas vulnerabilidades que afetam sua solução Endpoint Manager Mobile (EPMM). Essas vulnerabilidades, quando encadeadas, podem levar à execução remota de código não autenticada. A Ivanti afirmou que as vulnerabilidades estão associadas a código de código aberto usado no EPMM, em vez do código principal da Ivanti.
Detalhes da Vulnerabilidade
- CVE-2025-4427 (Severidade Média): Esta é uma falha de bypass de autenticação com uma pontuação de severidade CVSS v3.1 de 5,3. Um invasor pode explorar isso para ignorar mecanismos de autenticação e obter acesso não autorizado ao sistema.
- Vulnerabilidade de Execução Remota de Código (Alta Severidade): Esta vulnerabilidade tem uma pontuação de severidade CVSS v3.1 de 7,2, indicando um alto impacto potencial. Ao explorar essa falha, um invasor pode executar código arbitrário no sistema afetado remotamente.
Produtos e Versões Afetadas
As seguintes versões do Ivanti Endpoint Mobile Manager são afetadas por essas vulnerabilidades. Atualize para as versões mais recentes o mais rápido possível:
- Ivanti Endpoint Mobile Manager
- 11.12.0.4 e anterior: Atualize para 11.12.0.5 e posterior
- 12.3.0.1 e anterior: Atualize para 12.3.0.2 e posterior
- 12.4.0.1 e anterior: Atualize para 12.4.0.2 e posterior
- 12.5.0.0 e anterior: Atualize para 12.5.0.1 e posterior
Estratégias de Mitigação
A Ivanti recomenda fortemente que os usuários atualizem para a versão mais recente do EPMM o mais rápido possível. No entanto, o risco pode ser significativamente reduzido filtrando o acesso à API usando os ACLs do Portal integrados ou um Web Application Firewall (WAF) externo. Essas medidas podem ajudar a impedir o acesso não autorizado e a exploração das vulnerabilidades.
Em conclusão, os recentes avisos de segurança da Microsoft, Fortinet e Ivanti destacam a necessidade sempre presente de vigilância e medidas de segurança proativas. As organizações devem priorizar a aplicação de patches e a implementação das soluções recomendadas para se protegerem dessas vulnerabilidades ativamente exploradas e de possíveis ataques futuros. Monitorar regularmente os avisos de segurança e abordar prontamente os riscos identificados são componentes essenciais de uma postura de segurança robusta. As potenciais consequências de não abordar essas vulnerabilidades podem ser graves, variando de violações de dados e perdas financeiras a danos à reputação e interrupção dos negócios. A colaboração entre fornecedores e a comunidade de segurança é fundamental para identificar e mitigar essas ameaças, garantindo um ambiente digital mais seguro para todos.
Para expandir, é crucial que as organizações adotem uma abordagem de segurança em camadas. Isso significa implementar várias camadas de defesa para que, mesmo que uma camada seja comprometida, outras permaneçam em vigor para proteger os sistemas e dados. Além da aplicação de patches e das correções temporárias, outras medidas de segurança importantes incluem:
- Firewalls: Os firewalls atuam como uma barreira entre a rede interna da organização e a Internet pública, bloqueando o tráfego não autorizado e impedindo que invasores acessem sistemas vulneráveis.
- Sistemas de Detecção e Prevenção de Intrusões (IDS/IPS): Esses sistemas monitoram o tráfego de rede em busca de atividades suspeitas e tomam medidas para bloquear ou mitigar ataques.
- Software Antivírus e Anti-Malware: O software antivírus e anti-malware ajudam a proteger os sistemas contra vírus, worms, cavalos de Troia e outros tipos de malware.
- Autenticação Multifator (MFA): A MFA adiciona uma camada extra de segurança ao exigir que os usuários forneçam duas ou mais formas de autenticação ao fazer login em um sistema ou aplicativo.
- Segmentação de Rede: A segmentação de rede divide a rede em segmentos menores e isolados, dificultando que um invasor se mova lateralmente pela rede e acesse sistemas confidenciais.
- Monitoramento de Segurança: O monitoramento de segurança contínuo ajuda a detectar atividades suspeitas e responder a incidentes de segurança rapidamente.
- Testes de Penetração: Os testes de penetração simulam ataques cibernéticos para identificar vulnerabilidades nos sistemas e redes de uma organização.
- Conscientização sobre Segurança: É importante educar os funcionários sobre os riscos de segurança cibernética e como se proteger contra ataques. Isso pode incluir treinamento sobre como identificar e-mails de phishing, senhas fortes e práticas seguras de navegação na web.
- Backup e Recuperação de Dados: É importante ter um plano de backup e recuperação de dados em vigor para que a organização possa se recuperar de um desastre ou ataque cibernético.
- Gerenciamento de Vulnerabilidades: Implementar um processo de gerenciamento de vulnerabilidades para identificar, avaliar e corrigir vulnerabilidades em sistemas e aplicativos. Isso inclui a verificação regular de sistemas em busca de vulnerabilidades, a priorização de vulnerabilidades com base no risco e a aplicação de patches e correções o mais rápido possível.
Além disso, as organizações devem considerar a implementação das seguintes práticas recomendadas para melhorar sua postura de segurança:
- Princípio do Privilégio Mínimo: Os usuários devem ter apenas o nível mínimo de acesso necessário para realizar suas funções. Isso ajuda a limitar o dano que um invasor pode causar se comprometer uma conta de usuário.
- Endurecimento do Sistema: Endurecer os sistemas removendo serviços e aplicativos desnecessários, desativando contas de usuário padrão e configurando configurações de segurança fortes.
- Criptografia: Use criptografia para proteger dados confidenciais em repouso e em trânsito.
- Gerenciamento de Senhas: Implemente uma política de gerenciamento de senhas que exija que os usuários usem senhas fortes e as alterem regularmente.
- Auditoria: Realize auditorias regulares de sistemas e redes para identificar vulnerabilidades e garantir a conformidade com as políticas de segurança.
- Resposta a Incidentes: Desenvolva um plano de resposta a incidentes para que a organização esteja preparada para responder a um incidente de segurança de forma rápida e eficaz.
- Inteligência contra Ameaças: Utilize informações de inteligência contra ameaças para se manter atualizado sobre as ameaças mais recentes e adaptar as medidas de segurança de acordo.
Ao implementar essas medidas de segurança e práticas recomendadas, as organizações podem reduzir significativamente seu risco de serem vítimas de ataques cibernéticos. É importante lembrar que a segurança cibernética é um processo contínuo e as organizações devem revisar e atualizar continuamente suas medidas de segurança para se manterem à frente das ameaças em evolução. A colaboração entre os diferentes departamentos dentro da organização é essencial para garantir uma postura de segurança coesa e abrangente.
Finalmente, é crucial que as organizações estabeleçam um canal de comunicação claro e eficaz com seus fornecedores de tecnologia. Isso permite uma troca rápida de informações sobre vulnerabilidades, atualizações de segurança e melhores práticas. A realização de avaliações de segurança regulares dos fornecedores também pode ajudar a identificar e mitigar riscos potenciais introduzidos por terceiros. Ao adotar uma abordagem proativa e abrangente para a segurança cibernética, as organizações podem proteger seus ativos, dados e reputação contra as crescentes ameaças cibernéticas.