A Microsoft lançou nesta terça-feira o Patch Tuesday de outubro de 2025, trazendo um pacote monumental de 183 correções de segurança para seus produtos. Dentre elas, três vulnerabilidades zero-day já estavam sendo ativamente exploradas por cibercriminosos — duas delas impactando diretamente o sistema operacional Windows.
Fim do Suporte ao Windows 10 e o Programa ESU
O lançamento chega em um momento decisivo: a Microsoft encerrou oficialmente o suporte ao Windows 10, exigindo agora a adesão ao Extended Security Updates (ESU) para continuar recebendo atualizações críticas de segurança.
Das 183 vulnerabilidades corrigidas:
- 165 foram classificadas como Importantes
- 17 como Críticas
As categorias mais afetadas incluem:
- Elevação de privilégios (84 falhas)
- Execução remota de código (33 falhas)
- Divulgação de informações (28 falhas)
Dois Zero-Days Críticos Ativos no Windows
CVE-2025-24990 — Elevação de Privilégio no Driver Agere (ltmdm64.sys)
- CVSS: 7.8
- Impacto: Elevação de privilégio
- Afeta: Todas as versões do Windows, até o Server 2025
Essa vulnerabilidade no driver Windows Agere Modem (ltmdm64.sys) pode permitir que um invasor local obtenha privilégios de administrador.
Segundo Adam Barnett, engenheiro-chefe da Rapid7, o driver vulnerável é instalado em todas as versões do Windows, mesmo que o hardware correspondente não esteja em uso.
“Seu PC ainda está vulnerável — um usuário comum pode se tornar administrador”, alerta Barnett.
Devido à natureza legada do driver, a Microsoft planeja remover o componente por completo, em vez de lançar um patch tradicional.
CVE-2025-59230 — Falha no Gerenciador de Conexão de Acesso Remoto (RasMan)
- CVSS: 7.8
- Impacto: Elevação de privilégio
Esta é a primeira vez que o RasMan é explorado como zero-day ativo, conforme observou Satnam Narang, engenheiro sênior da Tenable. A falha pode permitir execução de código com privilégios elevados, ampliando o risco para usuários e organizações.
Terceiro Zero-Day: Falha no IGEL e Risco Interno
O terceiro zero-day, CVE-2025-47827 (CVSS: 4.6), afeta o sistema operacional IGEL (versões anteriores à 11). Trata-se de um bypass de inicialização segura (Secure Boot) que pode permitir acesso ao nível do kernel.
Segundo Kev Breen, da Immersive Labs, esse tipo de ataque é mais comum em cenários internos, como casos de insider threat (funcionários mal-intencionados).
Outras Vulnerabilidades de Alta Gravidade
Além dos zero-days, o pacote trouxe falhas críticas como:
- CVE-2025-59287 (CVSS: 9.8) — Execução remota de código (RCE) no Windows Server Update Service (WSUS)
- CVE-2025-59295 (CVSS: 8.8) — RCE na análise de URLs do Windows
O especialista Ben McCarthy, da Immersive, explicou que um invasor pode criar uma URL maliciosa para causar overflow e executar código arbitrário em memória controlada.
CVEs com Maior Pontuação CVSS (9.9)
- CVE-2025-49708 — Elevação de privilégios no Microsoft Graphics Component
- CVE-2025-55315 — Bypass de segurança no ASP.NET
McCarthy destacou que o CVE-2025-49708 representa um escape completo de máquina virtual (VM), permitindo que um invasor de baixa permissão dentro de uma VM acesse e comprometa o servidor host e todas as outras VMs em execução.
Conclusão: Atualização Imediata é Essencial
Devido à exploração ativa dessas vulnerabilidades, a Agência CISA dos EUA adicionou os três zero-days ao seu Catálogo de Vulnerabilidades Conhecidas Exploradas, exigindo correção imediata por órgãos federais e recomendando o mesmo a todas as organizações.
A instalação imediata do Patch Tuesday de outubro de 2025 é fortemente recomendada para todas as versões do Windows, a fim de mitigar riscos e proteger infraestruturas críticas contra ameaças em rápida evolução.
