Foram divulgados, pela Microsoft, patches de segurança para corrigir um conjunto de 126 vulnerabilidades, incluindo uma que, segundo a empresa, vem sendo explorada por atacantes.

Das 126 vulnerabilidades, 11 são classificadas como críticas, 112 como alta severidade e 2 como baixa severidade. Entre elas, destaca-se a CVE-2025-29824 (CVSS score: 7.8), uma falha de elevação de privilégio que afeta o Common Log File System (CLFS) Driver do Windows e ocorre por conta de um use-after-free, permitindo que um invasor autorizado eleve privilégios localmente ao nível SYSTEM, dando ao atacante a capacidade de instalar software malicioso, modificar configurações do sistema, acessar dados confidenciais etc.

Bugs de elevação de privilégio costumam ser utilizados em ataques, mas falhas no CLFS têm sido especialmente populares em ataques de ransomware. A CVE-2025-29824, em particular, foi adicionada ao catálogo KEV (Known Exploited Vulnerabilities) da CISA, que registra vulnerabilidades comprovadamente utilizadas em ataques. Até o momento, ela foi vista em alguns ataques, localizados nos EUA, Venezuela, Arábia Saudita e Espanha. A Microsoft vem acompanhando o caso da CVE-2025-29824 e foi percebido que atores de ameaça têm se aproveitado de um malware chamado PipeMagic para efetuar a exploração da falha.

Apesar de o vetor de acesso inicial ainda ser desconhecido, sabe-se que os atacantes foram observados usando o utilitário certutil para baixar malware de um site legítimo, mas previamente comprometido. Este malware é um arquivo MSBuild malicioso o qual contém um paylod criptografado. Este payload, por sua vez, é descompactado para executar o PipeMagic, um trojan baseado em plugins que vem sendo monitorado desde 2022.

Dado o fato de a vulnerabilidade ser de severidade alta e estar atualmente sendo explorada por atacantes, recomenda-se a atualização imediata dos sistemas afetados com o último Patch Tuesday. Atualizações para Windows 10 ainda não estão disponíveis. Para mais informações, consultar o advisor da própria Microsoft.