A Microsoft anunciou a correção de quatro falhas de segurança que afetam seus serviços de inteligência artificial (IA), nuvem, planejamento de recursos empresariais (ERP) e Partner Center. Entre as vulnerabilidades corrigidas, destaca-se a CVE-2024-49035, classificada com um índice de gravidade CVSS de 8,7, que já foi explorada em ataques reais. Essa falha é descrita como uma vulnerabilidade de controle de acesso inadequado em partner.microsoft[.]com, permitindo que atacantes não autenticados elevem privilégios pela rede. Apesar de reconhecer a descoberta pelos pesquisadores Gautam Peri, Apoorv Wadhwa e um colaborador anônimo, a empresa não revelou detalhes sobre a exploração nos ataques.

Outras três falhas também foram abordadas, incluindo a CVE-2024-49038, com pontuação CVSS de 9,3, que explora uma vulnerabilidade de cross-site scripting (XSS) no Copilot Studio para elevação de privilégios. A CVE-2024-49052, com gravidade 8,2, foi identificada no Microsoft Azure PolicyWatch devido à ausência de autenticação em uma função crítica, possibilitando a elevação de privilégios. Já a CVE-2024-49053, com índice 7,6, trata de uma vulnerabilidade de spoofing no Microsoft Dynamics 365 Sales, onde um invasor pode induzir um usuário a clicar em um link malicioso, redirecionando-o para um site comprometido.

A empresa destacou que a maioria das falhas foi completamente mitigada por atualizações automáticas, incluindo serviços como o Microsoft Power Apps. No entanto, para proteger dispositivos móveis contra a CVE-2024-49053, recomenda-se que os usuários atualizem o aplicativo Dynamics 365 Sales para Android e iOS para a versão mais recente (3.24104.15). As medidas reforçam o compromisso da Microsoft em melhorar a segurança de suas plataformas em resposta ao aumento de ataques direcionados.