São Paulo — InkDesign News — Em setembro de 2025, os bugs de elevação de privilégio (EoP) dominaram as atualizações de segurança da Microsoft, superando outras categorias de vulnerabilidades. O relatório destacou 38 EoPs entre os 81 CVEs divulgados.
Vetor de ataque
Entre os CVEs, CVE-2025-55234 (Pontuação CVSS: 8.8) representa um EoP crítico no protocolo SMB, permitindo que atacantes escalem privilégios. Essa falha pode envolver ataques de relé SMB, apresentando riscos elevados após o acesso inicial às redes.
Impacto e resposta
A Microsoft, em suas avaliações, categorizou 11 bugs como de severidade crítica, enquanto outros receberam classificações de importante a moderada na escala CVSS de 10 pontos. A falha CVE-2025-54918, em NTLM, é destacada como crítica e facilmente explorável, exigindo somente o conhecimento básico do sistema para que atacantes obtenham êxito.
Análise e recomendações
“CVEs significam que uma vulnerabilidade existe
(“CVE identifiers indicate that a vulnerability exists.”)— Tyler Reguly, Diretor Associado, Fortra
Outros bugs, como CVE-2025-54111 (Pontuação CVSS: 7.8) e CVE-2025-54913, afetam o XAML da interface do usuário, permitindo a elevação de privilégios através de credenciais phishing. As recomendações incluem priorizar patches e considerar o impacto das atualizações de segurança nos sistemas em uso.
Com a proximidade da data de término de suporte do Windows 10 e a implementação obrigatória de autenticação multifator para Azure, empresas devem se preparar para as mudanças que estão por vir.
Fonte: (Dark Reading – Segurança Cibernética)
