A Microsoft anunciou a correção de quatro vulnerabilidades de segurança que impactam suas tecnologias de inteligência artificial (IA), nuvem, planejamento de recursos empresariais (ERP) e o Partner Center. Uma dessas falhas, a CVE-2024-49035, já está sendo explorada em ataques ativos, com uma pontuação CVSS de 8,7, categorizada como de alta gravidade.
Microsoft corrige falhas críticas de segurança exploradas em ataques
A principal falha corrigida, CVE-2024-49035, permite que invasores não autenticados elevem privilégios dentro da rede via partner.microsoft[.]com, devido a um controle de acesso inadequado. A Microsoft reconheceu a contribuição de Gautam Peri, Apoorv Wadhwa e um pesquisador anônimo na identificação dessa vulnerabilidade.
Outras vulnerabilidades corrigidas incluem:
- CVE-2024-49038 (CVSS 9,3): Uma falha de script entre sites (XSS) no Copilot Studio, que pode permitir a elevação de privilégios.
- CVE-2024-49052 (CVSS 8,2): Falha de autenticação em uma função crítica no Microsoft Azure PolicyWatch.
- CVE-2024-49053 (CVSS 7,6): Uma vulnerabilidade de falsificação no Dynamics 365 Sales, que pode redirecionar usuários para sites maliciosos.
Notícias Relacionadas
Atualização segura
Microsoft corrige falhas de entrega e relança atualizações do Exchange
Microsoft relançou atualizações de novembro de 2024 para o Exchange Server, corrigindo falhas de entrega de e-mails causadas por regras personalizadas de fluxo de mensagens.
Exploração Ativa
Falha crítica explorada no ProjectSend compromete servidores públicos
Uma vulnerabilidade no ProjectSend, corrigida tardiamente, está sendo explorada ativamente para comprometer servidores públicos. Atualizações urgentes são recomendadas para mitigar ataques.
Ações recomendadas
Embora muitas dessas falhas já estejam mitigadas automaticamente, a Microsoft aconselha os usuários do Dynamics 365 Sales em dispositivos Android e iOS a atualizarem para a versão mais recente (3.24104.15) para proteção total contra a CVE-2024-49053.
Impacto na segurança cibernética
Essas atualizações reforçam a importância de monitorar vulnerabilidades em sistemas corporativos amplamente utilizados, como IA e ERP. A rápida resposta da Microsoft demonstra um compromisso em mitigar riscos que poderiam impactar diretamente empresas ao redor do mundo.
Mantenha seus sistemas atualizados e monitore anúncios de segurança para proteger sua infraestrutura digital.
