Microsoft corrige falhas críticas de segurança exploradas em ataques

A Microsoft corrigiu falhas graves de segurança em IA, nuvem e ERP, incluindo uma vulnerabilidade já explorada em ataques ativos.

microsoft-edge-e-teams-tem-novas-falhas-de-zero-dia-corrigidas-em-bibliotecas-de-codigo-aberto

A Microsoft anunciou a correção de quatro vulnerabilidades de segurança que impactam suas tecnologias de inteligência artificial (IA), nuvem, planejamento de recursos empresariais (ERP) e o Partner Center. Uma dessas falhas, a CVE-2024-49035, já está sendo explorada em ataques ativos, com uma pontuação CVSS de 8,7, categorizada como de alta gravidade.

Microsoft corrige falhas críticas de segurança exploradas em ataques

Falhas de segurança Microsoft

A principal falha corrigida, CVE-2024-49035, permite que invasores não autenticados elevem privilégios dentro da rede via partner.microsoft[.]com, devido a um controle de acesso inadequado. A Microsoft reconheceu a contribuição de Gautam Peri, Apoorv Wadhwa e um pesquisador anônimo na identificação dessa vulnerabilidade.

Outras vulnerabilidades corrigidas incluem:

  1. CVE-2024-49038 (CVSS 9,3): Uma falha de script entre sites (XSS) no Copilot Studio, que pode permitir a elevação de privilégios.
  2. CVE-2024-49052 (CVSS 8,2): Falha de autenticação em uma função crítica no Microsoft Azure PolicyWatch.
  3. CVE-2024-49053 (CVSS 7,6): Uma vulnerabilidade de falsificação no Dynamics 365 Sales, que pode redirecionar usuários para sites maliciosos.

Ações recomendadas

Embora muitas dessas falhas já estejam mitigadas automaticamente, a Microsoft aconselha os usuários do Dynamics 365 Sales em dispositivos Android e iOS a atualizarem para a versão mais recente (3.24104.15) para proteção total contra a CVE-2024-49053.

Impacto na segurança cibernética

Essas atualizações reforçam a importância de monitorar vulnerabilidades em sistemas corporativos amplamente utilizados, como IA e ERP. A rápida resposta da Microsoft demonstra um compromisso em mitigar riscos que poderiam impactar diretamente empresas ao redor do mundo.

Mantenha seus sistemas atualizados e monitore anúncios de segurança para proteger sua infraestrutura digital.