Microsoft corrige falha zero-day explorada no Windows no Patch Tuesday

A Microsoft lançou as suas atualizações mensais de segurança no Patch Tuesday de novembro, com um total de 63 falhas corrigidas. O pacote inclui uma correção crucial para uma vulnerabilidade zero-day que estava a ser ativamente explorada por cibercriminosos.

A falha zero-day corrigida, identificada como CVE-2025-62215, é uma vulnerabilidade de elevação de privilégios no kernel do Windows.

Os cibercriminosos estavam a explorar esta falha para obter privilégios de SISTEMA em dispositivos Windows. A Microsoft detalhou o mecanismo: “A execução simultânea utilizando recursos partilhados com sincronização inadequada no kernel do Windows permite que um atacante autorizado eleve os seus privilégios localmente”.

A empresa sublinha que o atacante precisa de vencer uma “race condition” para explorar a falha e, subsequentemente, receber privilégios de SISTEMA.

Além da zero-day, as atualizações da Patch Tuesday de novembro corrigem quatro vulnerabilidades classificadas como críticas: duas vulnerabilidades de execução remota de código (RCE); uma vulnerabilidade de elevação de privilégios; e uma falha de divulgação de informação.

Este lançamento marca também a primeira Extended Security Update (ESU) para o Windows 10, cujo suporte de segurança gratuito terminou no passado dia 14 de outubro.

A Microsoft recomenda que os utilizadores que ainda recorram ao Windows 10 sem suporte oficial atualizem para o Windows 11 ou se inscrevam no programa ESU para continuarem a receber patches de segurança cruciais.