Microsoft fecha 2025 com 57 falhas corrigidas e três zero‑days em destaque

Microsoft encerra 2025 corrigindo 57 vulnerabilidades, incluindo três zero-days – uma delas já explorada ativamente (CVE-2025-62221) para elevar privilégios a SYSTEM via driver Windows Cloud Files Mini Filter, além de falhas em Copilot para JetBrains, PowerShell e Office com vetor via Preview Pane.

Zero-days no Cloud Files Mini Filter e Copilot

A falha explorada, CVE-2025-62221 (CVSS 7,8), é um use-after-free no Windows Cloud Files Mini Filter Driver que permite a um atacante local autenticado escalar para privilégios SYSTEM; a Microsoft e CISA confirmam exploração ativa e incluíram o bug no catálogo de vulnerabilidades exploradas, recomendando patch antes de 30 de dezembro. Um segundo bug no mesmo driver, CVE-2025-62454 (também 7,8), é outra elevação de privilégio marcada como “Exploitation More Likely”, enquanto uma terceira falha similar, CVE-2025-62457, foi classificada como menos provável de exploração.

Entre os zero-days publicamente divulgados, destaca‑se o CVE-2025-64671 em GitHub Copilot para IDEs JetBrains, uma injeção de comandos com CVSS 8,4 que permite a execução de código ao explorar conteúdo malicioso (por exemplo, via MCP server ou arquivos não confiáveis) combinado com configurações de “auto-approve” no terminal. Já o CVE-2025-54100 em PowerShell também envolve injeção de comandos levando a RCE, porém ambos foram classificados como “Exploitation Less Likely” apesar da existência de PoC para o caso do Copilot.

Falhas críticas em Microsoft Office (Preview Pane)

As atualizações de dezembro corrigem 13 vulnerabilidades no Office, entre elas duas marcadas como críticas, CVE-2025-62554 e CVE-2025-62557 (CVSS 8,4), que são bugs de type confusion e use-after-free que permitem execução remota de código. Um atacante pode explorar essas falhas por meio de engenharia social, enviando links ou arquivos Office maliciosos que, em cenários extremos, podem disparar RCE apenas ao serem renderizados no Preview Pane do Outlook, sem que o usuário clique explicitamente no conteúdo.

Relatórios de pesquisa destacam que esse é o 11º mês consecutivo em 2025 com bug crítico em Office envolvendo Preview Pane como vetor, reforçando a necessidade de mitigar esse recurso em ambientes de alto risco.

Outros produtos afetados e volume anual

O Patch Tuesday de dezembro também inclui correções para vulnerabilidades em Visual Studio, Azure Monitor Agent, Hyper‑V, Edge para iOS e Application Information Service, cobrindo tanto componentes de endpoint quanto de nuvem e desenvolvimento. No acumulado de 2025, a Microsoft já corrigiu algo em torno de 1.100–1.200 CVEs, mantendo pelo segundo ano consecutivo a marca de mais de mil vulnerabilidades tratadas em seus produtos.

Ações recomendadas para administradores

  • Priorizar o patch de sistemas Windows contra CVE‑2025‑62221/62454/62457, dado o risco de EoP a SYSTEM e a confirmação de exploração em campo.
  • Atualizar imediatamente o plugin GitHub Copilot para JetBrains e revisar configurações de terminal/“auto-approve” para reduzir impacto de injeções de comando.
  • Aplicar os updates do Office e considerar endurecer ou desabilitar Preview Pane em estações sensíveis, além de reforçar filtros de e‑mail e treinamento contra anexos e links suspeitos