microsoft-4417277_1920-1.jpg

Microsoft corrige vulnerabilidades críticas

A Microsoft anunciou a correção de uma série de vulnerabilidades críticas e de alta gravidade que impactavam serviços de nuvem, inteligência artificial e outras plataformas, incluindo uma falha que já havia sido explorada em ataques. Essas atualizações foram aplicadas automaticamente, dispensando a necessidade de ação por parte dos usuários. A divulgação desses detalhes faz parte do compromisso da empresa com a transparência, segundo comunicado da empresa.

Leia também
Zero-day do Windows recebe correção não-oficial
Grupo hacker diz dominar licenciamento do Windows

Entre as falhas corrigidas, destaca-se o CVE-2024-49035 (gravidade CVSS 8,7), uma vulnerabilidade de controle de acesso impróprio no site Microsoft Partner Network, que permitia a elevação de privilégios sem autenticação em redes. Inicialmente classificada como “não explorada”, a Microsoft posteriormente confirmou que ataques utilizando essa falha ocorreram. Essa vulnerabilidade estava relacionada à versão online do Microsoft Power Apps.

Outra falha crítica foi o CVE-2024-49038, que envolvia vulnerabilidades de Cross-Site Scripting (XSS) no Copilot Studio, uma ferramenta baseada em inteligência artificial para a personalização de copilotos. Ela permitia que atacantes não autenticados executassem scripts maliciosos e elevassem privilégios na rede. No Azure PolicyWatch, a falha CVE-2024-49052, causada pela ausência de autenticação em uma função crítica, também foi corrigida. Além disso, no Dynamics 365 Sales, uma vulnerabilidade XSS foi identificada no servidor web, afetando usuários que interagiam com links maliciosos, inclusive em aplicativos móveis iOS e Android.

A Microsoft assegurou que todas as vulnerabilidades foram tratadas de forma automática, alinhando-se com sua política de corrigir falhas em serviços de nuvem sem a necessidade de intervenção dos clientes. No caso da vulnerabilidade do Partner Network, apesar de confirmada como explorada, os detalhes específicos sobre a extensão do ataque não foram divulgados. Essas ações seguem a estratégia da Microsoft e de outros provedores de nuvem, como o Google Cloud, de atribuir identificadores CVE mesmo a vulnerabilidades que não requerem ação dos usuários, garantindo maior transparência e controle.

Esses casos destacam a importância de organizações monitorarem continuamente relatórios de segurança e atualizações em plataformas críticas. Problemas como XSS e falhas de controle de acesso demonstram que práticas inadequadas de segurança continuam sendo riscos significativos, reforçando a necessidade de auditorias regulares e medidas rigorosas para proteger aplicações e serviços baseados em nuvem.