Outlook ganha novo bug de RCE ao responder e‑mails

A vulnerabilidade CVE-2025-62562 permite que um atacante execute código malicioso quando a vítima responde a um e‑mail especialmente criado no Outlook, afetando várias versões do Microsoft Office e exigindo atualização imediata.

A falha e o cenário de ataque

O CVE-2025-62562 é uma vulnerabilidade de use-after-free em Microsoft Office Outlook, classificada como Importante, com pontuação CVSS 7,8. O vetor é local: o ataque só dispara se o usuário interagir com o e‑mail malicioso, especificamente ao clicar em “Responder” a uma mensagem manipulada, o que aciona a cadeia de execução de código.

Diferente de outras falhas recentes em Office, o Preview Pane não é vetor neste caso; a simples visualização não basta para exploração. Ainda assim, em cenários reais de engenharia social, é plausível induzir usuários a responder a mensagens que pareçam internas ou urgentes.

Produtos afetados e patches

A falha afeta múltiplas versões do Office, incluindo:

  • Microsoft Word 2016 (32 e 64 bits) – patch disponível (KB5002806, build 16.0.5530.1000).
  • Microsoft Office LTSC 2019, 2021 e 2024 (Win, 32/64 bits) – updates disponíveis.
  • Microsoft 365 Apps for Enterprise – atualizações já liberadas via canal M365.
  • Microsoft Office 2019 – correções publicadas.
  • Microsoft SharePoint Server 2019 e SharePoint Enterprise Server 2016 – updates disponíveis.

Para Office LTSC for Mac 2021 e 2024, as correções ainda não foram liberadas; a Microsoft afirma que os patches para macOS serão disponibilizados “o mais rápido possível”. Até o momento, não há evidências de exploração ativa nem código de exploração público divulgado.

Recomendações para administradores e usuários

  • Aplicar imediatamente as atualizações de segurança em todas as instalações afetadas, via Windows Update, WSUS, SCCM/Intune ou download manual a partir do Microsoft Download Center, garantindo cobertura para edições 32 e 64 bits.
  • Em ambientes com Office LTSC for Mac ainda sem patch, reforçar políticas de e‑mail: instruir usuários a não responder mensagens inesperadas, suspeitas ou com conteúdo inconsistente e tratar qualquer campanha anômala como possível tentativa de exploração.
  • Endurecer filtros de e‑mail e regras de segurança para bloquear mensagens de remetentes suspeitos e aplicar inspeção reforçada a anexos e links, reduzindo a superfície de engenharia social.

A vulnerabilidade foi descoberta por Haifei Li (EXPMON) por meio de disclosure coordenado, e a mitigação efetiva, neste momento, depende fundamentalmente da aplicação rápida dos patches já disponibilizados.