Microsoft corrige um recorde de 570 falhas de segurança

A Microsoft lançou hoje atualizações de software para tapar pelo menos 570 falhas de segurança em seus sistemas operacionais Windows e outros softwares, quase o triplo do número de vulnerabilidades que a gigante do software corrigiu em seu lançamento recorde do Patch Tuesday no mês passado. A Microsoft atribuiu a crescente contagem de patches às descobertas de vulnerabilidades auxiliadas pela inteligência artificial.

Quase 60 dos bugs eliminados no Patch Tuesday de julho obtiveram uma classificação de gravidade “crítica”, o que significa que malfeitores ou malware poderiam usá-los para obter o controle remoto de um dispositivo Windows com pouca ou nenhuma ajuda do usuário. A Microsoft também corrigiu três falhas de dia zero, incluindo duas que já estão sendo exploradas.

Duas das fraquezas de dia zero permitem que um invasor eleve seus direitos de usuário em um sistema Windows, assim como aproximadamente 250 outras falhas de elevação de privilégio corrigidas este mês; eles incluem.

Os Serviços de Federação do Active Directory são um recurso de segurança que pode permitir que invasores obtenham acesso a dados criptografados se tiverem acesso físico ao dispositivo. A Microsoft disse que esse bug foi detalhado publicamente, mas não tem conhecimento de qualquer exploração ativa.

Em uma postagem no blog de 9 de julho, o vice-presidente executivo da Microsoft escreveu que os usuários do Windows notarão “um volume maior de atualizações de segurança incluídas em cada versão de segurança” como resultado da ajuda da IA na descoberta de vulnerabilidades.

“O ritmo da descoberta de vulnerabilidades está mudando com os avanços na IA, tornando possível encontrar mais problemas, mais rapidamente, em mais código, com novos mecanismos que podem acelerar a descoberta e a análise”, disse Davuluri, diretor de pesquisa de vulnerabilidades, sobre uma falha de execução remota de código no Microsoft Copilot (com uma pontuação de ameaça CVSS de 9,6) que permite que um invasor não autorizado execute código pela rede. A Microsoft diz que um invasor pode explorar esse bug hospedando um site malicioso que faz com que o Microsoft Edge para Android envie automaticamente avisos elaborados ao Copilot quando um usuário visita o site.

À medida que a IA avança no estado de descoberta e correção de vulnerabilidades, também torna mais fácil para os invasores criarem explorações funcionais para falhas de software conhecidas. A Microsoft há muito rotula os bugs de segurança usando seu “índice de exploração”, que é o melhor palpite de Redmond sobre a probabilidade de os invasores conseguirem descobrir uma maneira confiável de explorar uma determinada vulnerabilidade. O engenheiro sênior de pesquisa da Microsoft argumenta que o índice de explorabilidade da Microsoft precisa fazer um trabalho melhor para mudar com a velocidade de descoberta da máquina. Por exemplo, a Microsoft originalmente atribuiu ao dia zero do SharePoint deste mês uma classificação de exploração de “menos provável”, embora a falha estivesse na lista de vulnerabilidades exploradas conhecidas da CISA em 1º de julho.

“As próprias descobertas do Red Team da Antrópico para vulnerabilidades conhecidas (n dias) revelaram o quão frágil este sistema se tornou, com seu modelo Mythos Preview sendo capaz de produzir explorações de prova de conceito para 13 das 14 vulnerabilidades que foram classificadas como 'Exploração menos provável' ou 'Exploração improvável'”, disse Narang. “O que isso significa é que nossa maneira de encarar o Patch Tuesday mudou, porque o índice de exploração está centrado em humanos, não em ferramentas de IA, e à medida que essas ferramentas continuam a melhorar, a defesa precisa melhorar junto com elas.” observou que os números recordes de patches da Microsoft ocorrem no momento em que vários outros grandes fabricantes de software estão aumentando sua cadência de patches, incluindo a Adobe, que anunciou hoje que está mudando para boletins de segurança semestrais publicados na 2ª e 4ª terça-feira de cada mês (a Adobe também citou a IA por acelerar seus ciclos de patches). também enviam atualizações com mais frequência, enquanto os lotes de patches do Google em junho de 2026 totalizaram mais de 900 correções de segurança, observou Goettl.

As informações são do site Krebs on Security

Compartilhe este artigo

Continue lendo

Voltar ao Blog