A Microsoft anunciou a correção de quatro vulnerabilidades de segurança que impactam suas tecnologias de inteligência artificial (IA), nuvem, planejamento de recursos empresariais (ERP) e o Partner Center. Uma dessas falhas, a CVE-2024-49035, já está sendo explorada em ataques ativos, com uma pontuação CVSS de 8,7, categorizada como de alta gravidade.
Microsoft corrige falhas críticas de segurança exploradas em ataques
A principal falha corrigida, CVE-2024-49035, permite que invasores não autenticados elevem privilégios dentro da rede via partner.microsoft[.]com, devido a um controle de acesso inadequado. A Microsoft reconheceu a contribuição de Gautam Peri, Apoorv Wadhwa e um pesquisador anônimo na identificação dessa vulnerabilidade.
Outras vulnerabilidades corrigidas incluem:
- CVE-2024-49038 (CVSS 9,3): Uma falha de script entre sites (XSS) no Copilot Studio, que pode permitir a elevação de privilégios.
- CVE-2024-49052 (CVSS 8,2): Falha de autenticação em uma função crítica no Microsoft Azure PolicyWatch.
- CVE-2024-49053 (CVSS 7,6): Uma vulnerabilidade de falsificação no Dynamics 365 Sales, que pode redirecionar usuários para sites maliciosos.
Notícias Relacionadas
Ações recomendadas
Embora muitas dessas falhas já estejam mitigadas automaticamente, a Microsoft aconselha os usuários do Dynamics 365 Sales em dispositivos Android e iOS a atualizarem para a versão mais recente (3.24104.15) para proteção total contra a CVE-2024-49053.
Impacto na segurança cibernética
Essas atualizações reforçam a importância de monitorar vulnerabilidades em sistemas corporativos amplamente utilizados, como IA e ERP. A rápida resposta da Microsoft demonstra um compromisso em mitigar riscos que poderiam impactar diretamente empresas ao redor do mundo.
Mantenha seus sistemas atualizados e monitore anúncios de segurança para proteger sua infraestrutura digital.
