A empresa abordou duas vulnerabilidades críticas, identificadas como CVE-2025-21355 (pontuação CVSS: 8,6) e CVE-2025-24989 (pontuação CVSS: 8,2). A primeira afeta o Microsoft Bing, enquanto a segunda impacta diretamente o Power Pages.
Falhas corrigidas no Bing e no Power Pages
A CVE-2025-21355 foi causada por uma falha de autenticação em uma função crítica do Bing, permitindo que invasores não autorizados executassem código remotamente dentro da rede. O pesquisador Nicolas Joly foi responsável por relatar essa vulnerabilidade. Esse tipo de falha pode expor informações sensíveis dos usuários, comprometendo a integridade do serviço e permitindo possíveis ataques subsequentes.
Já a CVE-2025-24989 envolve um controle de acesso inadequado no Power Pages, possibilitando que invasores elevem privilégios indevidamente e contornem o controle de registro de usuários. Com isso, um atacante poderia obter acesso administrativo, modificar configurações do sistema e até mesmo comprometer a segurança de outros usuários dentro da mesma plataforma. Raj Kumar, da Microsoft, foi quem descobriu essa falha.
Microsoft alerta sobre exploração ativa
A Microsoft confirmou que a falha no Power Pages já estava sendo explorada ativamente. A empresa forneceu instruções para que clientes afetados revisassem seus sites e aplicassem medidas de mitigação. Apenas os usuários notificados diretamente pela Microsoft precisam tomar providências adicionais.
“Os clientes afetados receberam instruções sobre como revisar seus sites para exploração potencial e métodos de limpeza. Se você não foi notificado, esta vulnerabilidade não o afeta.” afirmou a Microsoft em seu comunicado oficial.
A recomendação da Microsoft é que os administradores de sites que utilizam o Power Pages revisem suas permissões de acesso e reforcem práticas de segurança, como a implementação de autenticação multifator (MFA) e a aplicação regular de atualizações. Além disso, a empresa recomenda monitoramento contínuo para identificar qualquer atividade suspeita que possa indicar uma tentativa de exploração da falha corrigida.
Compromisso da Microsoft com a segurança digital
Essa correção faz parte do compromisso contínuo da Microsoft em fortalecer a segurança de seus serviços contra ameaças emergentes e ciberataques. A empresa investe continuamente em pesquisas para identificar e corrigir vulnerabilidades antes que sejam exploradas em larga escala. Além disso, colabora com pesquisadores de segurança para garantir que seus produtos estejam sempre atualizados e protegidos contra novas ameaças.
A segurança digital tornou-se uma prioridade para empresas e usuários, uma vez que ataques cibernéticos estão cada vez mais sofisticados. A rápida resposta da Microsoft reforça a importância de manter sistemas atualizados e de adotar boas práticas de segurança para evitar possíveis comprometimentos.
Para mais informações sobre essa e outras vulnerabilidades corrigidas, os usuários podem acessar o centro de segurança da Microsoft e acompanhar as atualizações oficiais da empresa.