Microsoft Corrige 80 Falhas de Segurança em Atualização de Setembro de 2025

A Microsoft lançou correções para 80 vulnerabilidades em seu software, sendo 8 classificadas como Críticas e 72 como Importantes. Nenhuma das falhas foi explorada ativamente como zero-day no momento do lançamento.

Destaques das Vulnerabilidades

CVE-2025-55234 (CVSS 8.8): Vulnerabilidade de elevação de privilégio no Windows SMB, publicamente conhecida. Requer configurações de hardening específicas para mitigação completa.

CVE-2025-54914 (CVSS 10.0): Falha crítica no Azure Networking que permite elevação de privilégios. Não requer ação do cliente por ser uma vulnerabilidade de nuvem.

CVE-2025-55232 (CVSS 9.8): Execução remota de código no Microsoft High Performance Compute Pack.

CVE-2025-54918 (CVSS 8.8): Elevação de privilégio no Windows NTLM que pode conceder privilégios SYSTEM.

Atualizações do BitLocker

Foram corrigidas duas novas vulnerabilidades no BitLocker (CVE-2025-54911 e CVE-2025-54912), somando-se a quatro falhas previamente corrigidas em julho de 2025. Recomenda-se habilitar TPM+PIN para autenticação pré-boot e ativar a mitigação REVISE contra ataques de downgrade.

Técnica de Movimento Lateral "BitLockMove"

Foi detalhada uma nova técnica de movimento lateral que manipula remotamente chaves de registro do BitLocker via WMI para sequestrar objetos COM específicos, potencialmente permitindo execução de código no contexto do usuário interativo.

Outras Atualizações de Segurança

A Microsoft também corrigiu vulnerabilidades em:

• Microsoft Edge (navegador Chromium)
• Newtonsoft.Json (componente de terceiros no SQL Server)
• Diversos outros produtos da empresa

Atualizações de Outros Fabricantes

Vários outros fornecedores lançaram correções de segurança, incluindo Adobe, Cisco, Google, IBM, SAP, VMware e muitos outros, abrangendo uma ampla gama de produtos e serviços.