A Microsoft lançou uma atualização emergencial para corrigir duas falhas críticas que estão sendo ativamente exploradas por cibercriminosos e que afetam todas as versões do Windows, incluindo edições corporativas e servidores. As vulnerabilidades fazem parte do pacote mensal de segurança de outubro, que aborda 183 falhas no total, sendo 17 classificadas como críticas. A falha mais grave, identificada como CVE-2025-24990, está presente no driver Agere Modem (ltmdm64.sys), incluído em todas as versões do Windows desde o XP.
Mesmo em dispositivos que não utilizam o hardware correspondente, o driver permanece instalado por padrão, permitindo que usuários com privilégios mínimos elevem suas permissões para administrador. A Microsoft confirmou que, além do patch, pretende remover completamente o componente vulnerável de futuras versões do sistema. A segunda vulnerabilidade, CVE-2025-59230, afeta o Windows Remote Access Connection Manager (RasMan), responsável por gerenciar conexões de rede. Ela também pode ser explorada para elevação de privilégios locais, o que permite que atacantes obtenham controle total do sistema comprometido. É a primeira vez que o RasMan é alvo de um ataque zero-day, embora falhas anteriores nesse módulo já tenham sido corrigidas em anos recentes. Microsoft ainda corrigiu uma terceira falha em exploração ativa, CVE-2025-47827, que permite burlar o Secure Boot em sistemas corporativos baseados em IGEL OS, ambiente amplamente utilizado em infraestruturas de desktop virtual (VDI). Essa brecha pode ser usada para instalar rootkits e bootkits persistentes, comprometendo credenciais e dados sensíveis de empresas.
As três vulnerabilidades foram incluídas no catálogo de falhas exploradas ativamente da CISA (Cybersecurity and Infrastructure Security Agency), que determinou que órgãos federais dos Estados Unidos devem aplicar as correções até 4 de novembro de 2025. Especialistas alertam que a amplitude das falhas mostra como componentes antigos do Windows ainda representam riscos significativos. Muitas empresas mantêm drivers e serviços legados habilitados, sem monitoramento constante, o que facilita a exploração por invasores.
