A Microsoft anunciou duas vulnerabilidades importantes no Exchange Server que, se exploradas, podem permitir ataques de spoofing pela rede e manipulação de dados sensíveis. As falhas CVE-2025-25007 e CVE-2025-25005 foram divulgadas ontem 12 de agosto de 2025 e afetam empresas no mundo todo que utilizam a plataforma de e-mail e colaboração da Microsoft.
CVE-2025-25007: falsificação sem autenticação
A primeira falha, CVE-2025-25007, é uma vulnerabilidade de spoofing causada por falha na validação sintática de entradas. Ela pode ser explorada remotamente, sem autenticação e sem interação do usuário.
Com pontuação CVSS 5.3, permite que invasores se façam passar por usuários ou sistemas legítimos. Na prática, isso abre espaço para ataques de engenharia social mais convincentes ou tentativas de acesso não autorizado.
CVE-2025-25005: manipulação de dados internos
Já a CVE-2025-25005 é uma falha de tampering resultante de validação inadequada de entradas. Ela exige privilégios baixos para exploração, mas garante ao invasor acesso elevado a informações confidenciais.
Com CVSS 6.5, pode ser usada para alterar o conteúdo de e-mails, modificar configurações ou manipular dados críticos armazenados no Exchange.
Escalada de privilégios associada
A Microsoft também corrigiu uma falha separada no Windows Graphics Component CVE-2025-49743 que pode ser usada junto às vulnerabilidades do Exchange para escalar privilégios no sistema.
Essa combinação cria um cenário perigoso: falsificação de identidade, manipulação de dados e elevação de privilégios, tudo em uma mesma cadeia de ataque.
Risco elevado para servidores expostos à internet
Por serem falhas exploráveis via rede, servidores Exchange expostos à internet correm risco imediato. A recomendação é sempre a mesma:
- Aplicar as atualizações assim que possível.
- Monitorar atividades de e-mail incomuns.
- Revisar logs de autenticação em busca de padrões suspeitos.
- Considerar restrições temporárias no processamento de e-mails externos até o patch ser aplicado.
A Microsoft reforça que a manutenção de patches atualizados é essencial para proteger ambientes corporativos, especialmente quando o alvo é a comunicação por e-mail um dos recursos mais críticos e explorados nas empresas.
