Microsoft

A Microsoft lançou um pacote de correções em 11 de novembro de 2025, abordando 63 falhas de segurança no Windows, incluindo uma vulnerabilidade crítica de dia zero, identificada como CVE-2025-62215. Dentre as falhas corrigidas, quatro foram classificadas como críticas e 59 como importantes. As vulnerabilidades incluem 29 relacionadas à escalada de privilégios, 16 à execução remota de código e 11 à divulgação de informações. A falha de dia zero, descoberta pelo Centro de Inteligência de Ameaças da Microsoft, permitia que um invasor, já com acesso ao sistema, aumentasse seus privilégios localmente devido a uma condição de corrida no kernel do Windows. Essa falha poderia permitir que hackers sobrescrevessem a memória do sistema, sequestrando o fluxo de execução. A Microsoft não divulgou detalhes sobre a exploração da vulnerabilidade, mas especialistas acreditam que ela pode ter sido utilizada em ataques de phishing ou outras falhas. As correções se somam a 27 vulnerabilidades já solucionadas desde a última atualização de segurança do Edge, em outubro de 2025.

Na última terça-feira, a Microsoft lançou patches para 63 novas vulnerabilidades de segurança em seus softwares, incluindo uma que está sendo ativamente explorada. Dentre as falhas, quatro são classificadas como Críticas e 59 como Importantes. A vulnerabilidade zero-day CVE-2025-62215, com um score CVSS de 7.0, é uma falha de escalonamento de privilégios no Windows Kernel, permitindo que um atacante autorizado eleve seus privilégios locais. Para explorar essa falha, o invasor precisa já ter acesso ao sistema e utilizar um aplicativo especialmente elaborado para provocar uma condição de corrida. Além disso, foram corrigidas falhas críticas relacionadas a buffer overflow que podem resultar em execução remota de código. A vulnerabilidade no Kerberos (CVE-2025-60704), que permite a um atacante assumir o controle de um domínio, também é preocupante, pois pode ser explorada por quem já possui acesso inicial ao sistema. As atualizações são essenciais para proteger as organizações, especialmente aquelas que utilizam Active Directory. É fundamental que as empresas brasileiras realizem a atualização de seus sistemas para mitigar esses riscos.

A Microsoft anunciou a descoberta de um novo tipo de ataque cibernético denominado ‘Whisper Leak’, que consegue expor os tópicos discutidos em chats com chatbots de IA, mesmo quando as conversas estão totalmente criptografadas. A pesquisa da empresa indica que atacantes podem analisar o tamanho e o tempo dos pacotes criptografados trocados entre um usuário e um modelo de linguagem, permitindo inferir o conteúdo das discussões. Embora a criptografia proteja o conteúdo das mensagens, a vulnerabilidade reside na forma como os modelos de linguagem enviam respostas, transmitindo dados de forma incremental. Isso cria padrões que podem ser analisados por invasores, permitindo deduzir informações sensíveis. Após a divulgação, empresas como OpenAI e Mistral implementaram medidas para mitigar o problema, como a adição de sequências de texto aleatórias nas respostas. A Microsoft recomenda que os usuários evitem discutir assuntos sensíveis em redes Wi-Fi públicas e utilizem VPNs. Além disso, a pesquisa destaca que muitos modelos de linguagem abertos ainda são vulneráveis a manipulações, especialmente em conversas mais longas, levantando preocupações sobre a segurança das plataformas de chat de IA.

Uma pesquisa realizada pela Microsoft testou a eficácia de várias IAs agentic em um ambiente simulado de marketplace, revelando falhas significativas na escolha de produtos e na busca por informações. Utilizando um ambiente open-source chamado Magentic Marketplace, a pesquisa envolveu agentes de IA como o Operator da OpenAI e a Business AI da Meta, além de modelos como GPT-5 e Gemini 2.5 Flash. Os agentes foram designados a encontrar o melhor preço entre 300 lojas, mas muitos falharam em realizar comparações adequadas, optando por escolhas que pareciam ‘boas o suficiente’ sem uma análise aprofundada. O estudo também explorou a vulnerabilidade das IAs a manipulações, onde a maioria sucumbiu a táticas de marketing, exceto o Claude Sonnet 4, que se mostrou resistente. Essas falhas levantam preocupações sobre a confiabilidade das IAs como assistentes pessoais, especialmente em contextos críticos como o mercado financeiro, onde decisões automatizadas podem ter consequências significativas. A pesquisa destaca a necessidade de um treinamento mais robusto para essas tecnologias antes que possam ser confiáveis em transações importantes.

Durante o Seattle Security Campus Tour, a Microsoft apresentou sua visão sobre como a inteligência artificial (IA) e a colaboração global estão moldando o futuro da segurança digital. Frank X. Shaw, Diretor de Comunicação Global da Microsoft, destacou que a confiança é fundamental para a inovação, introduzindo o Secure Future Initiative (SFI), um programa que orienta o desenvolvimento de produtos e a resposta a incidentes. Vasu Jakkal, vice-presidente corporativa de Segurança, enfatizou que a segurança deve ser parte integrante de todos os processos da empresa, processando diariamente mais de 100 trilhões de sinais de segurança. A automação na detecção de falhas humanas foi exemplificada por um incidente em que um token interno foi exposto no GitHub, gerando um alerta imediato. Tori Westerhoff, do Red Team de IA, revelou que sua equipe simula ataques aos modelos de IA da Microsoft, explorando vulnerabilidades e comportamentos inesperados. Por fim, Herain Oberoi apresentou uma plataforma de defesa integrada que utiliza IA para proteger dados e identidades, ressaltando a importância do equilíbrio entre autonomia da IA e responsabilidade humana. A segurança, segundo os executivos, não é apenas um produto, mas a base para inovação e liberdade digital.

Durante o Microsoft Security Campus Tour, a Digital Crimes Unit (DCU) da Microsoft foi apresentada como um núcleo global dedicado à investigação de crimes digitais. Sob a liderança de Steve Masada, a equipe atua em três frentes principais: interromper infraestruturas criminosas, fornecer suporte jurídico e orientar empresas e governos em resposta a incidentes. A DCU monitora centenas de grupos de hackers e analisa bilhões de sinais de segurança diariamente, utilizando dados de produtos como Windows e Azure para agir de forma preventiva. Além disso, a equipe realiza simulações de crise cibernética para preparar empresas para possíveis ataques. Richard Domingues Boscovich, advogado sênior da DCU, destacou um caso recente de uso indevido de inteligência artificial generativa, onde imagens difamatórias foram criadas e disseminadas. A investigação levou à identificação dos responsáveis e à aplicação de ações legais. A DCU busca neutralizar o ecossistema criminoso e tornar o cibercrime mais difícil e caro. A abordagem da Microsoft enfatiza a antecipação de ameaças e a utilização de tecnologia como ferramenta de defesa, consolidando a segurança digital como um pilar essencial da inovação.

Pesquisadores da Equipe de Detecção e Resposta (DART) da Microsoft identificaram um novo malware chamado SesameOp, que utiliza a API Assistants da OpenAI como centro de comando e controle. Este malware foi detectado após uma série de ataques em julho de 2025 e é capaz de permanecer ativo em sistemas invadidos por meses, utilizando serviços em nuvem para comunicação. Os hackers enviam comandos criptografados à API, que os repassa ao malware, que por sua vez criptografa os dados roubados e os envia de volta. O SesameOp se destaca por não explorar vulnerabilidades da plataforma da OpenAI, mas sim por abusar de funcionalidades existentes. O malware é implementado através de um loader ofuscado e backdoor baseado em .NET, utilizando ferramentas do Microsoft Visual Studio para injeção. A Microsoft e a OpenAI estão colaborando nas investigações, que já resultaram na desativação de contas e chaves de API associadas aos cibercriminosos. Para mitigar riscos, recomenda-se que empresas auditem seus registros de firewall e monitorem atividades não autorizadas.

A Microsoft identificou um problema que pode afetar usuários de sistemas operacionais Windows após a atualização de segurança de outubro de 2025. Dispositivos com processadores Intel que suportam a tecnologia Connected Standby podem apresentar telas de recuperação do BitLocker inesperadamente durante reinicializações, exigindo que os usuários insiram manualmente a chave de recuperação para restaurar a funcionalidade normal. O problema afeta as versões do Windows 11 (24H2 e 25H2) e do Windows 10 (22H2). A situação ocorre após a instalação de atualizações lançadas em ou após 14 de outubro de 2025. A Microsoft está investigando a causa raiz e já ativou um recurso de reversão de problemas conhecido (KIR) para mitigar o impacto. Embora a interrupção seja temporária e a funcionalidade de criptografia permaneça intacta, a empresa recomenda que os usuários mantenham suas chaves de recuperação acessíveis e monitorem o painel de saúde do Windows para atualizações sobre a resolução do problema. Servidores Windows não são afetados, limitando o impacto principalmente a estações de trabalho de consumidores e empresas.

A Microsoft anunciou uma nova medida de segurança que entrará em vigor em fevereiro de 2026, visando proteger as credenciais do Microsoft Entra armazenadas em dispositivos móveis comprometidos. A partir dessa data, o aplicativo Microsoft Authenticator detectará iPhones com jailbreak e dispositivos Android com root, removendo automaticamente todas as credenciais armazenadas. Essa ação visa prevenir o acesso não autorizado e o roubo de credenciais, uma vez que dispositivos modificados desativam as proteções de segurança padrão, permitindo que aplicativos maliciosos acessem dados sensíveis. A remoção das credenciais é uma resposta a um vetor de ataque crítico que cibercriminosos exploram ativamente. Embora a funcionalidade do Authenticator para contas Microsoft Entra seja desativada em dispositivos comprometidos, contas pessoais e métodos de autenticação de terceiros continuarão operando normalmente. As organizações devem comunicar essa mudança aos usuários para evitar interrupções operacionais e desenvolver estratégias de comunicação claras sobre a importância dessa medida de segurança. Essa decisão da Microsoft reflete uma tendência crescente na indústria de priorizar a segurança em dispositivos móveis, especialmente em um cenário onde o trabalho remoto e os serviços baseados em nuvem dependem cada vez mais da autenticação móvel.

A Microsoft reconheceu um erro crítico na distribuição de uma atualização do Windows Server Update Services (WSUS) que afetou sistemas do Windows Server 2025 inscritos no programa Hotpatch. Essa atualização foi distribuída acidentalmente para máquinas que deveriam receber apenas atualizações Hotpatch, resultando em uma interrupção significativa no processo de aplicação de patches sem reinicialização do sistema. Embora a Microsoft tenha corrigido rapidamente o erro, as organizações afetadas enfrentarão um intervalo de três meses na funcionalidade do Hotpatch e precisarão seguir procedimentos específicos para restaurar as operações normais. Os sistemas que instalaram a atualização incorreta não receberão atualizações Hotpatch programadas para novembro e dezembro de 2025, mas sim atualizações mensais padrão que exigem reinicializações. Para mitigar o problema, a Microsoft oferece um procedimento para que administradores que ainda não instalaram a atualização problemática possam reverter para a versão correta. A situação destaca a complexidade da gestão de múltiplos canais de atualização em ambientes corporativos grandes e a importância de um gerenciamento cuidadoso de patches.

A Microsoft divulgou detalhes sobre um novo backdoor chamado SesameOp, que utiliza a API de Assistentes da OpenAI para comunicações de comando e controle (C2). Em um relatório técnico, a equipe de Resposta a Incidentes da Microsoft (DART) explicou que, em vez de métodos tradicionais, os atacantes abusam da OpenAI como um canal C2 para orquestrar atividades maliciosas de forma furtiva. O backdoor foi descoberto em julho de 2025, após uma intrusão sofisticada que permitiu que os atacantes mantivessem acesso persistente ao ambiente comprometido por vários meses. O malware é projetado para executar comandos recebidos através da API da OpenAI, que serve como um mecanismo de armazenamento ou retransmissão. A cadeia de infecção inclui um componente carregador e um backdoor baseado em .NET, que busca comandos criptografados, os decodifica e os executa localmente. Os resultados são enviados de volta à OpenAI. A Microsoft informou que compartilhou suas descobertas com a OpenAI, que desativou uma chave de API e uma conta associada ao adversário. Este incidente destaca o uso crescente de ferramentas legítimas para fins maliciosos, dificultando a detecção de atividades maliciosas em redes normais.

O cenário de cibersegurança está cada vez mais voltado para ataques baseados em nuvem, com criminosos cibernéticos explorando ferramentas de segurança legítimas para realizar reconhecimento malicioso. A AzureHound, uma ferramenta de teste de penetração destinada a profissionais de segurança autorizados, foi transformada em uma arma por atacantes que buscam comprometer ambientes do Azure e do Microsoft Entra ID. Pesquisadores de segurança relataram que adversários sofisticados, como grupos apoiados pelo Irã e pela Rússia, estão utilizando a AzureHound em suas atividades de descoberta pós-compromisso. A ferramenta coleta dados através das APIs do Microsoft Graph e Azure REST, permitindo que atacantes mapeiem caminhos de ataque, identifiquem alvos de alto valor e descubram oportunidades de escalonamento de privilégios. Após obter acesso inicial ao ambiente da vítima, os atacantes podem usar a AzureHound para enumerar rapidamente todo o inquilino do Azure, sem necessidade de posicionamento especial na rede. Para se proteger contra o abuso da AzureHound, as organizações devem implementar controles de segurança em camadas, como autenticação multifator, políticas de acesso condicional e monitoramento de atividades da API do Azure. A vigilância contínua e a resposta rápida a incidentes são essenciais para mitigar esses riscos.

A Microsoft corrigiu uma vulnerabilidade crítica no driver Windows Cloud Files Minifilter, identificada como CVE-2025-55680, que permite a atacantes locais escalar privilégios e criar arquivos arbitrários no sistema. Descoberta por pesquisadores da Exodus Intelligence em março de 2024, a falha foi incluída nas atualizações de segurança de outubro de 2025, recebendo uma pontuação CVSS de 7.8 devido à sua capacidade de conceder acesso em nível SYSTEM por meio de técnicas de side-loading de DLLs.

A Microsoft lançou uma atualização de segurança para corrigir uma vulnerabilidade crítica no ASP.NET Core, identificada como CVE-2025-55315, que expõe organizações a ataques de ‘HTTP request smuggling’. Com uma pontuação CVSS 3.1 de 9.9, a gravidade da falha exige uma correção imediata em ambientes corporativos. A vulnerabilidade surge da forma como o servidor web Kestrel, parte do ASP.NET Core, processa requisições HTTP. Em determinadas condições, o servidor não valida corretamente os limites das requisições, permitindo que atacantes criem requisições maliciosas que ocultam outras requisições dentro delas. Isso pode contornar controles de segurança críticos, como autenticação e validação de entrada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre a exploração ativa de uma vulnerabilidade crítica no Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Essa falha permite que atacantes não autenticados executem código remotamente com privilégios de sistema em servidores vulneráveis. A Microsoft lançou uma atualização de segurança emergencial em 23 de outubro de 2025, após descobrir que um patch anterior não resolveu completamente o problema. A vulnerabilidade afeta várias versões do Windows Server, incluindo 2012, 2016, 2019, 2022 e 2025, e é especialmente perigosa para organizações que utilizam o WSUS com as portas 8530 ou 8531 abertas. Os atacantes podem obter controle total sobre os sistemas afetados, possibilitando a instalação de ransomware, roubo de dados sensíveis e criação de backdoors. A CISA recomenda que as organizações identifiquem imediatamente os servidores vulneráveis e apliquem a atualização de segurança, além de considerar medidas temporárias, como desabilitar o WSUS ou bloquear o tráfego nas portas mencionadas. A situação é crítica, e a falta de ação pode resultar em sérias consequências para a segurança das informações das empresas.

No dia 24 de outubro de 2025, a Microsoft divulgou atualizações de segurança fora do ciclo regular para corrigir uma vulnerabilidade crítica no Windows Server Update Service (WSUS), identificada como CVE-2025-59287, com uma pontuação CVSS de 9.8. Essa falha permite a execução remota de código e já está sendo explorada ativamente na natureza, com um exploit de prova de conceito (PoC) disponível publicamente. A vulnerabilidade resulta da desserialização insegura de dados não confiáveis, permitindo que um atacante não autenticado execute código remotamente. A Microsoft recomenda que os administradores de sistemas instalem a atualização imediatamente e realizem uma reinicialização do sistema. Como medidas temporárias, é aconselhável desativar o papel do servidor WSUS e bloquear o tráfego nas portas 8530 e 8531. A situação é crítica, pois o Centro Nacional de Segurança Cibernética da Holanda relatou que a exploração da vulnerabilidade foi observada no mesmo dia do anúncio. A CISA dos EUA também incluiu essa falha em seu catálogo de vulnerabilidades exploradas, exigindo que agências federais a remediem até 14 de novembro de 2025.

A Microsoft implementou uma atualização de segurança no Windows File Explorer a partir de 14 de outubro de 2025, que desativa automaticamente o painel de pré-visualização para arquivos baixados. Essa medida visa mitigar uma vulnerabilidade que poderia expor hashes NTLM, credenciais sensíveis usadas na autenticação em redes. O vetor de ataque envolve a pré-visualização de arquivos maliciosos que incorporam elementos HTML, permitindo que solicitações de rede não autorizadas sejam disparadas em segundo plano. Com a nova atualização, arquivos de fontes não confiáveis são marcados com o atributo ‘Mark of the Web’, impedindo a pré-visualização e exibindo um aviso ao usuário. Embora a maioria dos usuários não sinta um impacto significativo, a proteção é ativada automaticamente, priorizando a segurança sem comprometer a usabilidade. Para arquivos confiáveis, os usuários podem facilmente reverter a proteção. Essa mudança é especialmente benéfica para ambientes corporativos, onde a segurança é crucial, reduzindo a superfície de ataque e promovendo hábitos de segurança mais seguros. A atualização é um passo importante na luta contra o roubo de credenciais, mantendo os sistemas Windows mais resilientes frente a ameaças cibernéticas.

Uma investigação realizada pelo Varonis Threat Labs revelou uma vulnerabilidade crítica que permitiu a hackers criar aplicativos maliciosos no Azure utilizando nomes reservados da Microsoft. Ao contornar as salvaguardas, os atacantes conseguiram registrar nomes enganosos, como ‘Azure Portal’, induzindo os usuários a conceder permissões perigosas. Essa falha possibilitou que cibercriminosos obtivessem acesso inicial, mantivessem persistência e escalassem privilégios em ambientes Microsoft 365, expondo organizações a riscos de perda de dados e danos à reputação.

A Microsoft Threat Intelligence emitiu um alerta urgente sobre o aumento de atividades maliciosas direcionadas ao Azure Blob Storage. Essas campanhas exploram configurações inadequadas, assinaturas de acesso compartilhado (SAS) excessivamente permissivas e credenciais comprometidas para infiltrar, persistir e exfiltrar dados sensíveis de empresas armazenados em repositórios na nuvem. O Azure Blob Storage, que suporta operações críticas como inteligência artificial e análises, tornou-se um alvo atraente devido à sua capacidade de gerenciar grandes volumes de dados não estruturados.

Um novo relatório do Cofense Phishing Defense Center revela que criminosos estão explorando a confiança que os usuários depositam na marca Microsoft para realizar fraudes. A campanha começa com um e-mail que simula uma comunicação legítima de uma empresa, como uma locadora de veículos, prometendo um reembolso. Ao clicar no link, o usuário é redirecionado para uma página falsa que imita um sistema de verificação CAPTCHA. Essa etapa visa enganar ferramentas de segurança automatizadas e criar uma sensação de autenticidade.

Em 14 de outubro de 2025, a Microsoft lançou um patch abrangente que corrige 183 falhas de segurança em seus produtos relacionados ao Windows, incluindo três vulnerabilidades zero-day que estavam sendo ativamente exploradas. Este lançamento ocorre após o término do suporte ao Windows 10, exceto para usuários do programa de Atualizações de Segurança Estendidas (ESU). Das 183 correções, 165 foram classificadas como ‘importantes’, 17 como ‘críticas’ e apenas uma como ‘moderada’. As vulnerabilidades abordadas incluem elevação de privilégios, execução remota de código e vazamento de informações. As falhas zero-day mais preocupantes são CVE-2025-24990 e CVE-2025-59230, ambas permitindo que hackers executem códigos com privilégios elevados. A primeira será resolvida com a remoção do driver afetado, enquanto a segunda é a primeira vulnerabilidade no gerenciamento de conexão de acesso remoto a ser explorada dessa forma. Além disso, a CVE-2025-47827, que contorna o Secure Boot, apresenta um risco baixo, pois requer acesso físico ao dispositivo. A correção dessas vulnerabilidades é crucial para proteger usuários e empresas que ainda utilizam o Windows 10.

Pesquisadores do Centro de Defesa Contra Phishing Cofense alertam sobre um novo golpe que simula ser o suporte da Microsoft, bloqueando o acesso ao navegador e solicitando que a vítima entre em contato com um número de telefone. O ataque começa com um e-mail de phishing que oferece um reembolso falso, levando a um CAPTCHA para evitar detecções automáticas. Em seguida, uma página pop-up imita alertas de segurança da Microsoft, fazendo o usuário acreditar que seu computador foi comprometido. Para resolver a situação, é solicitado que a vítima ligue para um número, onde um falso técnico de suporte pode solicitar credenciais ou induzir a instalação de ferramentas de acesso remoto. Este golpe é um exemplo claro de engenharia social, utilizando a confiança que os usuários têm em grandes marcas. É importante que os usuários estejam cientes de que a Microsoft nunca trancaria um navegador ou pediria que ligassem para um suporte através de um pop-up. A recomendação é sempre desconfiar de comunicações desse tipo.

Um novo golpe de phishing, analisado pelo Cofense Phishing Defense Center, explora a confiança dos usuários na marca Microsoft para aplicar fraudes de suporte técnico. O ataque começa com um e-mail que se passa por uma empresa chamada ‘Syria Rent a Car’, prometendo um reembolso em troca da verificação do e-mail do usuário. Ao clicar no link, a vítima é direcionada a um desafio CAPTCHA falso, que visa enganar tanto o usuário quanto ferramentas de detecção de phishing. Após essa etapa, a vítima é levada a uma página que simula mensagens de segurança da Microsoft, criando uma falsa sensação de urgência ao afirmar que o sistema foi comprometido. O navegador parece travado, e pop-ups insistem que o usuário entre em contato com um número de suporte que, na verdade, conecta a engenheiros sociais que tentam obter credenciais ou instalar ferramentas de acesso remoto. Este golpe destaca como a confiança nas marcas pode ser manipulada para intensificar os métodos tradicionais de phishing, exigindo que as empresas adotem treinamentos de conscientização e respostas integradas a tentativas de phishing.

A Microsoft anunciou a revogação de mais de 200 certificados utilizados pelo grupo de cibercriminosos conhecido como Vanilla Tempest, que assina fraudulentamente binários maliciosos em ataques de ransomware. Esses certificados foram empregados em arquivos de instalação falsos do Microsoft Teams para entregar o backdoor Oyster e, por fim, implantar o ransomware Rhysida. A atividade foi detectada no final de setembro de 2025, e a Microsoft já atualizou suas soluções de segurança para sinalizar as assinaturas associadas a esses arquivos maliciosos. O grupo Vanilla Tempest, que opera desde julho de 2022, é conhecido por distribuir diversas variantes de ransomware, incluindo BlackCat e Quantum Locker. O backdoor Oyster é frequentemente disseminado por meio de instaladores trojanizados de softwares populares, utilizando domínios maliciosos que imitam sites legítimos. A Microsoft alerta que os usuários são frequentemente direcionados a esses sites por meio de técnicas de SEO, que manipulam resultados de busca. Para se proteger, é recomendado baixar softwares apenas de fontes verificadas e evitar clicar em links suspeitos.

A Microsoft anunciou a interrupção de uma campanha sofisticada de ciberataques liderada pelo grupo Vanilla Tempest, também conhecido como VICE SPIDER e Vice Society. A ação envolveu a revogação de mais de 200 certificados de assinatura de código obtidos fraudulentamente. A campanha, que começou em setembro de 2025, utilizou arquivos de instalação falsificados do Microsoft Teams para implantar um backdoor chamado Oyster e, posteriormente, o ransomware Rhysida. Os atacantes criaram sites que se passavam por portais oficiais de download do Teams, utilizando técnicas de SEO para atrair vítimas. Após a execução do instalador falso, o backdoor Oyster permitia acesso persistente aos sistemas comprometidos. A Microsoft agiu rapidamente para revogar os certificados, invalidando as chaves usadas nos arquivos de instalação e atualizando o Microsoft Defender para detectar as ameaças associadas. A ação ressalta a importância da gestão robusta de certificados e do compartilhamento de inteligência em tempo real, ajudando a proteger clientes globalmente e a estabelecer um precedente para a colaboração entre autoridades certificadoras e a comunidade de cibersegurança.

Uma nova vulnerabilidade no Internet Information Services (IIS) da Microsoft, identificada como CVE-2025-59282, possibilita que atacantes executem código arbitrário em sistemas afetados. A falha decorre de uma condição de corrida e de um cenário de uso após liberação em componentes de memória compartilhada. Classificada como importante, a vulnerabilidade possui um escore CVSS 3.1 de 7.0, indicando que, embora a exploração seja considerada local, um invasor precisa persuadir um usuário legítimo a abrir um arquivo malicioso. A complexidade do ataque é alta, exigindo um tempo preciso para explorar a falha de sincronização. A Microsoft lançou um patch em 14 de outubro de 2025, recomendando que todas as versões suportadas do Windows Server com IIS sejam atualizadas imediatamente. Organizações devem revisar suas instalações do IIS e desativar recursos de objetos COM inbox, a menos que sejam explicitamente necessários. Medidas como a lista de permissões de aplicativos podem ajudar a prevenir a execução de arquivos não confiáveis.

No dia 15 de outubro de 2025, a Microsoft lançou correções para 183 falhas de segurança em seus produtos, incluindo três vulnerabilidades que estão sendo ativamente exploradas. Este lançamento ocorre em um momento crítico, pois a empresa encerrou oficialmente o suporte ao Windows 10, exceto para PCs que participam do programa de Atualizações de Segurança Estendidas (ESU). Das 183 vulnerabilidades, 165 foram classificadas como importantes, 17 como críticas e uma como moderada. As falhas mais preocupantes incluem duas vulnerabilidades de elevação de privilégios (CVE-2025-24990 e CVE-2025-59230), que permitem a execução de código com privilégios elevados. Além disso, uma vulnerabilidade de bypass de Secure Boot (CVE-2025-47827) foi identificada no IGEL OS, que pode permitir a instalação de rootkits. Todas essas falhas foram adicionadas ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, exigindo que agências federais apliquem os patches até 4 de novembro de 2025. O impacto dessas vulnerabilidades pode ser significativo, especialmente em ambientes corporativos que utilizam amplamente as tecnologias da Microsoft.

Em 15 de outubro de 2025, a Microsoft lançou sua atualização mensal de segurança, conhecida como Patch Tuesday, corrigindo um total de 172 vulnerabilidades em seu ecossistema de produtos. Dentre essas, destacam-se quatro falhas zero-day, sendo que duas delas estão ativamente sendo exploradas por atacantes. A vulnerabilidade CVE-2025-59230, por exemplo, permite que atacantes locais elevem seus privilégios no Windows Remote Access Connection Manager. Além disso, foram corrigidas falhas críticas de execução remota de código (RCE) em aplicativos como Microsoft Office e Excel, que podem conceder controle total do sistema ao abrir arquivos maliciosos. A atualização também abrange 80 vulnerabilidades de elevação de privilégio, que permitem que atacantes já dentro do sistema aumentem suas permissões, e uma variedade de outras falhas, incluindo problemas de divulgação de informações e bypass de recursos de segurança. A amplitude das correções enfatiza a necessidade urgente de que as organizações apliquem essas atualizações para se protegerem contra ameaças cibernéticas emergentes.

No dia 14 de outubro de 2025, o Windows 10 entra na fase de ‘Fim de Vida’ (End of Life), o que significa que a Microsoft não fornecerá mais suporte oficial para este sistema operacional. Isso implica a interrupção de atualizações, correções de bugs e, principalmente, patches de segurança, deixando milhões de usuários vulneráveis a ameaças cibernéticas. Apesar de já ter mais de uma década, o Windows 10 ainda é utilizado por uma grande base de usuários, e a Microsoft está incentivando a migração para o Windows 11. Além disso, empresas concorrentes, como a Apple, estão aproveitando essa transição para atrair usuários do Windows 10. Para ajudar os usuários a entenderem os riscos associados à permanência no Windows 10, a Microsoft disponibiliza ferramentas que permitem verificar a compatibilidade do hardware para a atualização. O artigo também oferece um blog ao vivo com opiniões de especialistas e dicas para facilitar a transição. A falta de suporte pode resultar em um aumento significativo de vulnerabilidades, tornando essencial que os usuários considerem a atualização para garantir a segurança de seus sistemas.

A Microsoft anunciou uma atualização significativa no modo Internet Explorer (IE) de seu navegador Edge, em resposta a relatos de que atores de ameaças estavam explorando essa funcionalidade para acessar dispositivos de usuários de forma não autorizada. Segundo a equipe de Pesquisa de Vulnerabilidades de Navegadores da Microsoft, os atacantes utilizavam técnicas de engenharia social e exploits não corrigidos no motor JavaScript do Internet Explorer, chamado Chakra, para comprometer dispositivos.

Pesquisadores de segurança identificaram vulnerabilidades críticas na infraestrutura de comunicação em nuvem do Microsoft Defender for Endpoint, que permitem a invasores contornar mecanismos de autenticação e manipular operações de resposta a incidentes. A análise das componentes do agente de detecção e resposta a endpoint (EDR), como MsSense.exe e SenseIR.exe, revelou falhas na validação de tokens de autenticação. Isso possibilita que atacantes interceptem comandos de segurança e até mesmo enviem dados falsificados para armazenamento em nuvem, comprometendo a integridade das investigações. Os atacantes podem explorar a falta de controle de autenticação para obter tokens válidos e executar ações maliciosas, como relatar estados de isolamento falsos ou carregar arquivos maliciosos disfarçados. Embora a Microsoft tenha classificado essas falhas como de baixa severidade, a falta de correções claras e a possibilidade de acesso não autorizado a dados de configuração de resposta a incidentes levantam preocupações significativas. Especialistas recomendam que equipes de segurança implementem medidas defensivas imediatas, como monitoramento de padrões de comando e validação de estados de isolamento, até que a Microsoft resolva as vulnerabilidades.

O grupo de cibercriminosos conhecido como Storm-2657 está atacando organizações nos Estados Unidos, especialmente no setor de educação superior, com o objetivo de desviar pagamentos salariais para contas controladas pelos atacantes. Segundo um relatório da equipe de Inteligência de Ameaças da Microsoft, esses ataques não exploram falhas de segurança nas plataformas de software como serviço (SaaS), mas utilizam táticas de engenharia social e a falta de autenticação multifatorial (MFA) para assumir o controle das contas dos funcionários. Os atacantes têm utilizado e-mails de phishing para coletar credenciais e códigos MFA, acessando contas do Exchange Online e modificando perfis no Workday, uma plataforma de gestão de recursos humanos. Além disso, eles criam regras na caixa de entrada para ocultar notificações de mudanças não autorizadas, redirecionando pagamentos salariais para suas contas. A Microsoft identificou 11 contas comprometidas em três universidades, que foram usadas para enviar e-mails de phishing a quase 6.000 contas em 25 instituições. Para mitigar os riscos, recomenda-se a adoção de métodos de MFA resistentes a phishing, como chaves de segurança FIDO2, e a revisão de contas em busca de atividades suspeitas.

A Microsoft emitiu um alerta sobre um grupo de hackers, conhecido como Storm-2657, que está realizando campanhas de roubo de salários em organizações dos Estados Unidos, especialmente no setor de educação superior. Esses ataques ocorrem através da violação de contas de funcionários, permitindo acesso não autorizado a plataformas de recursos humanos como o Workday. Os hackers utilizam e-mails de phishing altamente personalizados para enganar os alvos, muitas vezes se passando por autoridades de saúde do campus. Uma vez que as credenciais e os códigos de autenticação multifator (MFA) são coletados, os atacantes conseguem redirecionar os pagamentos salariais para contas bancárias controladas por eles. A falta de controles de autenticação robustos, como MFA resistente a phishing, é um fator crítico que facilita esses ataques. Para mitigar esses riscos, as organizações são aconselhadas a adotar métodos de autenticação sem senha e a monitorar logs de auditoria de sistemas como o Exchange Online e o Workday para detectar atividades suspeitas. A situação destaca a necessidade urgente de fortalecer as defesas contra engenharia social e melhorar a segurança das informações financeiras dos funcionários.

Pesquisadores em cibersegurança identificaram uma campanha de quishing sofisticada que utiliza técnicas avançadas de manipulação de códigos QR para atacar usuários da Microsoft, conseguindo evadir sistemas tradicionais de detecção de segurança. Essa nova abordagem representa uma evolução significativa nas táticas de phishing baseadas em QR codes, empregando múltiplas estratégias de evasão que desafiam as defesas cibernéticas convencionais.

Os atacantes implementaram três mecanismos distintos para evitar a detecção: a primeira técnica envolve a divisão dos códigos QR em dois arquivos de imagem separados, dificultando a análise por ferramentas automatizadas. Além disso, abandonaram os esquemas de cores padrão, utilizando combinações não convencionais que podem confundir sistemas de reconhecimento óptico. A técnica mais sofisticada consiste em desenhar os códigos QR diretamente através da manipulação do fluxo de conteúdo, permitindo que o código malicioso exista dentro do documento, contornando sistemas de detecção baseados em imagens.

A Microsoft anunciou que o Outlook não exibirá mais imagens SVG inline para mitigar riscos de phishing e malware. A decisão vem em resposta ao aumento do uso malicioso de arquivos SVG, que têm sido utilizados para entregar malware e criar páginas de phishing. Em uma atualização no Microsoft 365 Message Center, a empresa informou que, ao invés de imagens, os usuários verão espaços em branco onde as imagens SVG estariam. No entanto, os arquivos SVG enviados como anexos clássicos continuarão a ser suportados e visualizáveis. A Microsoft destacou que menos de 0,1% das imagens no Outlook utilizam esse método, o que significa que o impacto nas comunicações diárias deve ser mínimo. Essa mudança faz parte de uma estratégia mais ampla da Microsoft para reduzir recursos que podem ser explorados por atacantes, incluindo a restrição de funções em Office e Windows que têm sido utilizadas em campanhas de phishing e malware nos últimos anos.

A Microsoft está investigando um bug que causa falhas no cliente de e-mail clássico do Outlook, afetando usuários do Microsoft 365 que utilizam o software em sistemas Windows. O problema impede o acesso ao serviço e, até o momento, a única solução disponível é através do suporte técnico da Microsoft, especificamente do Exchange Online. Os usuários afetados recebem uma mensagem de erro informando que o Outlook não pôde ser aberto devido a uma falha na autenticação da conta Exchange. A empresa recomenda que os usuários abram um chamado no portal de administrador do Microsoft 365 para que a equipe do Exchange Online possa solicitar uma correção. Além disso, a Microsoft sugere que os usuários façam uma captura de erro utilizando o proxy Fiddler, buscando pelo código de erro “LID: 49586 - Authentication concurrency limit is reached”. Enquanto a solução definitiva não é disponibilizada, a empresa orienta o uso do novo Outlook para Windows ou do Acesso Web do Outlook (OWA). Outras soluções temporárias incluem iniciar o Outlook em modo de segurança, criar um novo perfil e reparar arquivos de dados do Outlook. A situação é crítica, pois o bug afeta a produtividade dos usuários e a Microsoft já enfrentou problemas semelhantes anteriormente, relacionados a instabilidades em seus servidores.

Recentemente, a Microsoft conseguiu bloquear uma campanha de phishing que utilizava código gerado por inteligência artificial (IA) para ocultar um payload malicioso dentro de um arquivo SVG disfarçado como PDF. Os atacantes enviaram e-mails de contas de pequenas empresas comprometidas, utilizando campos BCC para esconder os alvos reais. O arquivo SVG continha elementos ocultos que simulavam um painel de negócios, enquanto um script transformava palavras relacionadas a negócios em código, levando os usuários a uma página de login falsa após um redirecionamento para um CAPTCHA. A análise do arquivo pelo Microsoft Security Copilot revelou características típicas de código gerado por IA, como identificadores longos e comentários genéricos, o que indicou que o código era mais polido do que prático. Embora a campanha tenha sido limitada e facilmente bloqueada, ela destaca como os atacantes estão cada vez mais utilizando IA para criar iscas convincentes e payloads complexos. A Microsoft enfatiza a importância de ferramentas de IA na detecção e resposta a ameaças em larga escala, tanto para defensores quanto para atacantes.

No dia 30 de setembro de 2025, a Microsoft anunciou a expansão de sua solução de gerenciamento de incidentes e eventos de segurança (SIEM), o Sentinel, com a disponibilização geral do Sentinel data lake. Este novo recurso é uma ferramenta nativa da nuvem, projetada para ingerir, gerenciar e analisar dados de segurança, proporcionando melhor visibilidade e análises avançadas. O data lake permite que modelos de inteligência artificial, como o Security Copilot, tenham acesso ao contexto completo necessário para detectar padrões sutis e correlacionar sinais, facilitando a identificação de comportamentos de atacantes e a resposta a incidentes. Além disso, a Microsoft introduziu o Sentinel Graph e o Modelo de Contexto do Protocolo (MCP), que permitem uma orquestração mais eficiente e uma compreensão contextual mais rica dos dados de segurança. A empresa também destacou a importância de proteger plataformas de IA contra ataques de injeção de prompt, anunciando melhorias no Azure AI Foundry para aumentar a segurança dos agentes de IA. Com essas inovações, a Microsoft visa transformar a cibersegurança de um modelo reativo para um preditivo, permitindo que as equipes de segurança respondam mais rapidamente a eventos em larga escala.

Um novo ataque de phishing, identificado pela Microsoft, está direcionado a organizações baseadas nos Estados Unidos e utiliza modelos de linguagem avançados para ocultar suas intenções maliciosas. Detectado em 28 de agosto de 2025, o ataque se aproveita de contas de e-mail corporativas comprometidas para enviar mensagens que se disfarçam como notificações de compartilhamento de arquivos. Os atacantes utilizam arquivos SVG, que permitem a inclusão de JavaScript e conteúdo dinâmico, para criar iscas mais convincentes. Os e-mails são enviados com endereços de remetente e destinatário iguais, ocultando os verdadeiros alvos no campo BCC, o que dificulta a detecção inicial. O conteúdo do SVG é estruturado para parecer um painel de análise de negócios, enquanto a funcionalidade maliciosa é disfarçada por uma sequência de termos corporativos. A Microsoft alerta que, embora esta campanha tenha sido bloqueada, técnicas semelhantes estão sendo cada vez mais adotadas por cibercriminosos. Além disso, outras campanhas de phishing têm explorado temas relacionados à Administração da Seguridade Social dos EUA e à violação de direitos autorais, utilizando métodos inovadores para distribuir malware.

Uma vulnerabilidade crítica no sistema Microsoft Entra ID foi descoberta, permitindo que cibercriminosos acessassem inquilinos virtuais sem deixar rastros. Identificada pelo especialista Dirk-Jan Mollema, a falha, classificada como CVE-2025-55241, envolvia dois elementos: os Tokens de Autor, que são tokens de autenticação não documentados, e um bug de Elevação de Privilégios. Esses tokens, emitidos por um sistema legado, não eram verificados por controles de segurança comuns, permitindo acesso não autorizado a dados sensíveis e configurações de outras organizações. Mollema demonstrou que, utilizando informações publicamente disponíveis, era possível gerar tokens e acessar ambientes alheios, criando usuários e alterando senhas sem gerar logs. A Microsoft reconheceu a vulnerabilidade em julho de 2025 e lançou patches para corrigi-la em setembro. A falha destaca a importância de descontinuar sistemas obsoletos e reforçar a segurança em serviços amplamente utilizados, como o Azure AD Graph.

Uma vulnerabilidade crítica, identificada como CVE-2025-55241, foi revelada pelo pesquisador de segurança Dirk-Jan Mollema, permitindo que um único token de acesso obtido de qualquer tenant de teste concedesse controle administrativo total sobre todos os tenants do Microsoft Entra ID (anteriormente Azure AD) globalmente. Essa falha na validação de tokens ‘Actor’ da Microsoft expõe um risco significativo associado à autoridade centralizada em plataformas de nuvem modernas. Um atacante com acesso a uma conta de laboratório poderia se passar por qualquer usuário ou serviço, acessar dados sensíveis, criar novas contas de administrador global e permanecer indetectável, já que todas as ações pareciam legítimas. Embora a Microsoft tenha corrigido a vulnerabilidade, a falha arquitetônica subjacente persiste, destacando a necessidade urgente de arquiteturas de segurança sem autoridade central. A situação ressalta que, apesar dos investimentos significativos em cibersegurança, as brechas podem resultar em danos financeiros imensos, exigindo uma mudança estrutural na forma como a segurança é abordada nas plataformas de nuvem.

Uma falha crítica de validação de token no Microsoft Entra ID (anteriormente Azure Active Directory) pode ter permitido que atacantes se passassem por qualquer usuário, incluindo Administradores Globais, em qualquer inquilino. A vulnerabilidade, rastreada como CVE-2025-55241, recebeu a pontuação máxima de 10.0 no CVSS e foi classificada pela Microsoft como uma falha de escalonamento de privilégios. Embora não haja indícios de que a falha tenha sido explorada ativamente, ela foi corrigida em 17 de julho de 2025, sem necessidade de ação por parte dos clientes. O problema surgiu da combinação de tokens de ator emitidos pelo Serviço de Controle de Acesso e uma falha na API Graph do Azure AD, que não validava adequadamente o inquilino de origem, permitindo acesso não autorizado entre inquilinos. Isso poderia permitir que um atacante se passasse por um Administrador Global, criando novas contas ou exfiltrando dados sensíveis. A Microsoft já descontinuou a API Graph do Azure AD, recomendando a migração para o Microsoft Graph. A empresa Mitiga alertou que a exploração dessa vulnerabilidade poderia contornar autenticações multifator e deixar poucas evidências do ataque.

Uma colaboração entre a Microsoft e a Cloudflare resultou na desarticulação de uma operação de phishing conhecida como RaccoonO365, que vendia ferramentas para roubo de credenciais do Microsoft 365. A operação, realizada em setembro de 2025, levou ao controle de 338 sites e contas associadas ao grupo hacker Storm-2246, que desde julho de 2024 havia comprometido pelo menos 5.000 credenciais de usuários em 94 países. Os atacantes utilizavam kits de phishing que combinavam páginas de CAPTCHA e técnicas antibot para simular legitimidade e evitar a detecção. Uma campanha específica focada em impostos atingiu 2.300 organizações nos EUA, resultando em tentativas de fraude financeira e extorsão. O grupo operava principalmente via Telegram, oferecendo pacotes de phishing a preços que variavam de US$ 335 a US$ 999, pagos em criptomoedas. A operação revelou que o líder do grupo, Joshua Ogundipe, residente na Nigéria, tinha um histórico em programação e foi identificado como o principal responsável pelos códigos maliciosos. A Microsoft estima que o grupo arrecadou cerca de US$ 100 mil em criptomoedas até o momento, e as autoridades internacionais já foram notificadas sobre as acusações contra Ogundipe.

Uma nova pesquisa da Entro Labs revelou uma vulnerabilidade crítica na funcionalidade de auto-sincronização do OneDrive da Microsoft, que está expondo segredos empresariais em larga escala. O estudo indica que um em cada cinco segredos expostos em ambientes corporativos provém do SharePoint, não por meio de ataques sofisticados, mas devido a uma configuração padrão do OneDrive que move automaticamente arquivos locais contendo credenciais sensíveis para repositórios na nuvem. A falha de segurança está relacionada ao recurso Known Folder Move (KFM), que sincroniza pastas críticas do usuário, como Desktop e Documentos, para o OneDrive. Isso resulta em uma exposição inadvertida de arquivos que deveriam ser mantidos localmente, tornando-os acessíveis a administradores e contas potencialmente comprometidas. A pesquisa também destaca que a maioria dos arquivos expostos são planilhas, representando mais de 50% dos segredos, seguidas por arquivos de texto e scripts. A situação é agravada pela ativação padrão do OneDrive em sistemas Windows 10/11, que pode levar usuários a fazer backup de arquivos sensíveis sem perceber. Para mitigar esses riscos, as equipes de segurança devem aumentar a conscientização sobre o comportamento de auto-sincronização e considerar desativar o KFM onde não for necessário.

A Microsoft, por meio de sua Unidade de Crimes Digitais (DCU), desmantelou uma operação de cibercrime chamada RaccoonO365, que se destacou como uma das ferramentas mais rápidas para roubo de credenciais do Microsoft 365. Com uma ordem judicial do Distrito Sul de Nova York, a empresa conseguiu desativar 338 sites associados a essa plataforma de phishing como serviço, interrompendo a infraestrutura técnica utilizada pelos criminosos. Desde julho de 2024, a RaccoonO365 comprometeu pelo menos 5.000 credenciais em 94 países, com um foco alarmante em organizações de saúde nos EUA, onde 20 delas foram atacadas. O serviço, que permite que indivíduos com pouca experiência técnica realizem campanhas de roubo de credenciais, utiliza branding autêntico da Microsoft para enganar os usuários. A operação foi liderada por Joshua Ogundipe, um programador da Nigéria, que comercializava seus serviços via Telegram e recebeu cerca de $100.000 em pagamentos em criptomoeda. A evolução da RaccoonO365 inclui o uso de inteligência artificial para aumentar a eficácia dos ataques, destacando a crescente preocupação com ferramentas de cibercrime aprimoradas por IA. A Microsoft colaborou com parceiros de segurança e utilizou ferramentas de análise de blockchain para rastrear transações de criptomoeda, enquanto encaminhou Ogundipe para as autoridades internacionais.

A Microsoft alertou que o suporte para o Windows 11 versão 22H2 terminará em 14 de outubro de 2025, o que significa que dispositivos que ainda utilizarem essa versão não receberão mais atualizações de segurança. Isso representa um risco significativo, pois sistemas não atualizados ficarão vulneráveis a ameaças cibernéticas, como exploits de dia zero e ransomware. A empresa recomenda que organizações, especialmente as do setor empresarial e educacional, atualizem para a versão 24H2 do Windows 11 para garantir a continuidade da proteção e acesso a novos recursos. A falta de atualizações pode resultar em violações de dados, interrupções operacionais e problemas de conformidade, especialmente em ambientes regulados. Além disso, a Microsoft oferece um programa de Atualizações de Segurança Estendidas (ESU) para aqueles que não conseguirem migrar a tempo, embora isso envolva custos adicionais. A preparação para a migração deve incluir a validação da compatibilidade de aplicativos e o treinamento da equipe de TI para uma implementação eficiente.

Em setembro de 2025, a Microsoft lançou uma atualização de segurança que corrige quatro falhas de elevação de privilégios no serviço Windows Defender Firewall, todas classificadas como importantes. As vulnerabilidades identificadas como CVE-2025-53808, CVE-2025-54104, CVE-2025-54109 e CVE-2025-54915 podem permitir que um atacante autenticado com privilégios elevados consiga acesso ao nível de Serviço Local, comprometendo a integridade do sistema. Três das falhas estão relacionadas a um erro de confusão de tipo, que ocorre quando um recurso é tratado como um tipo de dado diferente do que realmente é, levando à corrupção de memória. A exploração dessas falhas requer que o usuário esteja autenticado e pertença a um grupo restrito do Windows, o que limita a probabilidade de exploração, embora a gravidade das falhas ainda represente um risco significativo. A Microsoft recomenda que administradores e usuários apliquem as atualizações de setembro de 2025 imediatamente para mitigar esses riscos.

A Microsoft anunciou um plano de descontinuação do suporte ao VBScript no Windows, alertando os desenvolvedores sobre a necessidade de migrar seus projetos que dependem dessa tecnologia. O processo de descontinuação ocorrerá em três fases: a primeira, já em andamento até 2026 ou 2027, mantém o VBScript como um recurso habilitado por demanda, garantindo a funcionalidade dos projetos existentes. Na segunda fase, que deve começar em 2026 ou 2027, o VBScript será desativado por padrão, exigindo que os desenvolvedores o reativem manualmente, se necessário. A fase final, ainda sem data definida, eliminará completamente o VBScript das futuras versões do Windows, o que resultará na falha de chamadas VBA para scripts .vbs e referências a bibliotecas VBScript.RegExp. Para facilitar a transição, a Microsoft integrou classes RegExp nativamente no VBA a partir da versão 2508 do Office, permitindo que os desenvolvedores utilizem novas funcionalidades sem depender do VBScript. A empresa recomenda que os desenvolvedores comecem a adaptar seus códigos agora para evitar interrupções futuras.

O senador americano Ron Wyden solicitou à Comissão Federal de Comércio (FTC) que investigue a Microsoft por ’negligência cibernética grave’ que facilitou ataques de ransomware em infraestruturas críticas dos EUA, incluindo redes de saúde. A demanda surge após um ataque devastador ao sistema de saúde Ascension, que resultou no roubo de informações pessoais de 5,6 milhões de indivíduos. O ataque, atribuído ao grupo Black Basta, ocorreu quando um contratante clicou em um link malicioso no Bing, permitindo que os atacantes explorassem configurações inseguras do software da Microsoft. Wyden criticou a empresa por não impor senhas robustas e por continuar a suportar o algoritmo de criptografia RC4, considerado vulnerável. Apesar de a Microsoft ter anunciado melhorias de segurança e planos para descontinuar o suporte ao RC4, o senador argumenta que a falta de ações mais rigorosas expõe os clientes a riscos significativos. O artigo destaca a necessidade de um design de segurança mais rigoroso em plataformas de TI dominantes, especialmente quando estas são fundamentais para a infraestrutura nacional.

No dia 10 de setembro de 2025, a Microsoft lançou uma atualização de segurança que corrige 80 falhas em seu software, incluindo uma vulnerabilidade já conhecida publicamente. Dentre as 80 falhas, oito foram classificadas como Críticas e 72 como Importantes. Nenhuma das vulnerabilidades foi explorada como zero-day. A maioria das falhas (38) está relacionada a elevação de privilégios, seguida por execução remota de código (22), divulgação de informações (14) e negação de serviço (3). A vulnerabilidade mais crítica, CVE-2025-55234, com um CVSS de 8.8, refere-se a um problema de elevação de privilégios no SMB do Windows, que pode permitir ataques de relay. A Microsoft também destacou a importância de auditorias adicionais para garantir a compatibilidade do cliente SMB. Outras vulnerabilidades notáveis incluem CVE-2025-54914, uma falha crítica no Azure Networking, e CVE-2025-55232, que afeta o Microsoft HPC Pack. A atualização também aborda falhas no BitLocker, que podem permitir que atacantes contornem proteções de criptografia. A Microsoft recomenda medidas adicionais, como habilitar TPM+PIN para aumentar a segurança do BitLocker.