Escalonamento De Privilégios

A Microsoft divulgou uma vulnerabilidade crítica no Windows Admin Center, identificada como CVE-2026-26119, que permite a um atacante autorizado elevar seus privilégios em uma rede. Com uma pontuação CVSS de 8.8, essa falha foi descoberta pelo pesquisador Andrea Pierini e corrigida na versão 2511 do software, lançada em dezembro de 2025. A vulnerabilidade se origina de uma autenticação inadequada, que possibilita que um usuário padrão obtenha os direitos do usuário que está executando a aplicação afetada. Embora a Microsoft não tenha relatado a exploração ativa dessa falha, ela foi classificada como ‘Exploitation More Likely’, indicando um risco elevado. Pierini alertou que, sob certas condições, essa vulnerabilidade poderia levar a uma comprometimento total do domínio a partir de um usuário padrão. Dada a importância do Windows Admin Center em ambientes corporativos, a correção imediata é essencial para evitar possíveis ataques e garantir a segurança da rede.

Os agentes de inteligência artificial (IA) estão se tornando componentes essenciais nas operações diárias de segurança, engenharia e TI, atuando como intermediários de acesso em diversos sistemas. Esses agentes, que podem automatizar tarefas como provisionamento de contas e gerenciamento de mudanças, são projetados para operar com permissões amplas, o que pode obscurecer a visibilidade sobre quem está acessando o quê. Essa configuração, embora aumente a produtividade, introduz riscos significativos de escalonamento de privilégios, onde usuários com acesso limitado podem, indiretamente, acessar dados ou realizar ações que normalmente não teriam permissão. A falta de controle sobre as permissões dos agentes e a atribuição de atividades a eles, em vez de aos usuários, dificulta a detecção de abusos e a aplicação de políticas de segurança. Para mitigar esses riscos, é crucial que as equipes de segurança monitorem continuamente as permissões dos agentes e a relação entre as identidades dos usuários e os ativos críticos. A adoção segura de agentes de IA requer visibilidade e monitoramento contínuo para evitar que se tornem pontos cegos de segurança.

A Microsoft divulgou uma atualização de segurança para corrigir uma vulnerabilidade crítica no Microsoft SQL Server, identificada como CVE-2025-59499. Classificada como uma falha de elevação de privilégios, essa vulnerabilidade possui um score CVSS de 8.8 e afeta diversas versões do SQL Server, incluindo 2022, 2019, 2017 e 2016. O problema decorre da neutralização inadequada de elementos especiais em comandos SQL, permitindo que atacantes com privilégios baixos criem nomes de banco de dados maliciosos que contenham caracteres de controle SQL. Isso pode resultar na execução de comandos T-SQL arbitrários, comprometendo o contexto de segurança do processo em execução. Se o processo estiver sob funções de alto privilégio, como sysadmin, o atacante pode obter controle administrativo total.

Uma nova vulnerabilidade 0-day no Kernel do Windows, identificada como CVE-2025-62215, está sendo ativamente explorada para escalonamento de privilégios. Publicada em 11 de novembro de 2025, a falha é classificada como importante e resulta da execução concorrente de código que utiliza um recurso compartilhado sem a devida sincronização, caracterizando uma condição de corrida. Além disso, a vulnerabilidade envolve gerenciamento inadequado de memória, criando um cenário de ‘double free’ que permite que atacantes escalem privilégios ao serem bem-sucedidos na exploração.

Uma vulnerabilidade crítica de escalonamento de privilégios foi identificada no Windows Cloud Files Mini Filter Driver, classificada como CVE-2025-55680. Essa falha explora uma vulnerabilidade do tipo time-of-check to time-of-use (TOCTOU), permitindo que atacantes locais contornem restrições de gravação de arquivos e obtenham acesso não autorizado a nível de sistema. A origem da vulnerabilidade remonta a uma divulgação do Project Zero em 2020, que visava prevenir ataques de links simbólicos. No entanto, a validação de strings de caminho ocorre no espaço do usuário antes do processamento em modo kernel, criando uma janela crítica para exploração. Um atacante pode modificar a memória entre a verificação de segurança e a operação real do arquivo, contornando todas as proteções. O processo de exploração envolve a função HsmFltProcessHSMControl da API do Cloud Files, que, ao chamar HsmFltProcessCreatePlaceholders, pode criar arquivos em diretórios protegidos com privilégios de modo kernel. A Microsoft já disponibilizou patches para corrigir essa vulnerabilidade, e as organizações devem priorizar sua aplicação, uma vez que o ataque requer apenas acesso local ao sistema e não necessita de interação do usuário.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica de escalonamento de privilégios, identificada como CVE-2025-41244, que afeta o VMware Tools e o VMware Aria Operations. Essa falha permite que atacantes com acesso de usuário padrão a uma máquina virtual elevem seus privilégios a nível root, comprometendo a segurança de sistemas virtualizados. A vulnerabilidade é particularmente preocupante devido à sua baixa complexidade de ataque e aos requisitos mínimos para exploração, tornando-a acessível em ambientes multi-inquilinos e de hospedagem compartilhada. A CISA estabeleceu um prazo obrigatório até 20 de novembro de 2025 para que as organizações apliquem patches ou implementem medidas de segurança alternativas. A Broadcom, responsável pelo VMware, já disponibilizou orientações de segurança e patches para mitigar a falha. Enquanto isso, as organizações devem considerar restrições de acesso local e desativação de funcionalidades não essenciais como medidas temporárias. A urgência é reforçada pela natureza pública da vulnerabilidade e pela janela de exploração ativa, exigindo uma resposta rápida das equipes de segurança.

Uma grave falha de segurança foi identificada no serviço Red Hat OpenShift AI, que pode permitir que atacantes escalem privilégios e assumam o controle total da infraestrutura sob certas condições. O OpenShift AI é uma plataforma que gerencia o ciclo de vida de modelos de inteligência artificial preditiva e generativa em ambientes de nuvem híbrida. A vulnerabilidade, identificada como CVE-2025-10725, possui uma pontuação CVSS de 9.9, sendo classificada como ‘Importante’ pela Red Hat, uma vez que requer que o atacante esteja autenticado para comprometer o ambiente. Um atacante com privilégios baixos, como um cientista de dados utilizando um Jupyter notebook, pode elevar seus privilégios a um administrador completo do cluster, comprometendo a confidencialidade, integridade e disponibilidade do cluster. Isso pode resultar no roubo de dados sensíveis e na interrupção de serviços. As versões afetadas incluem Red Hat OpenShift AI 2.19 e 2.21. A Red Hat recomenda que os usuários evitem conceder permissões amplas a grupos de sistema e que as permissões para criar jobs sejam concedidas de forma mais granular, seguindo o princípio do menor privilégio.

Uma nova vulnerabilidade crítica, identificada como CVE-2025-41244, afeta o VMware Tools e o VMware Aria Operations, permitindo que usuários não privilegiados executem código com privilégios de root sem autenticação. Essa falha, explorada ativamente pelo grupo de ameaças UNC5174 desde outubro de 2024, resulta de padrões de expressão regular excessivamente amplos no componente get-versions.sh, que pode ser manipulado para executar binários maliciosos. O ataque ocorre em ambientes de nuvem híbrida, onde a execução de um binário malicioso em diretórios graváveis, como /tmp/httpd, pode levar a um shell de root. Para mitigar essa vulnerabilidade, recomenda-se que as organizações apliquem patches imediatamente, monitorem processos e restrinjam permissões de gravação em diretórios vulneráveis. A gravidade da situação exige uma resposta rápida para proteger as infraestruturas críticas contra ameaças persistentes avançadas.