Microsoft corrige RCE em Outlook (CVE-2025-62562) — atualize
Microsoft liberou correção para uma falha de execução remota de código em Outlook (CVE-2025-62562). Administradores devem priorizar a aplicação dos patches disponibilizados para as versões afetadas e mitigar risco de exploração via engenharia social.
Descoberta e escopo / O que mudou agora
A falha, divulgada em 9 de dezembro de 2025 e catalogada como CVE-2025-62562, resulta de uma condição de use-after-free em Microsoft Office Outlook. A classificação da Microsoft indica severidade “Important” com pontuação CVSS de 7.8, e atualizações foram publicadas para a maior parte das edições afetadas, conforme o comunicado técnico da fabricante.
Vetor e exploração / Mitigações
O vetor requer interação local: um atacante precisa convencer o usuário a responder (reply) a um e-mail especialmente criado para acionar a cadeia que leva à execução de código. A Visualização (Preview Pane) não é vetor neste caso; a exploração depende da ação do usuário.
Como medida imediata, a Microsoft recomenda instalar as atualizações distribuídas via Windows Update ou Microsoft Download Center. Para sistemas sem patch imediato (por exemplo, Office LTSC para Mac 2021/2024), a orientação provisória é restringir exposição a mensagens não solicitadas e treinar operadores para não responder a e-mails suspeitos.
Impacto e alcance / Setores afetados
Segundo a nota técnica, o conjunto de produtos afetados inclui várias versões do Microsoft Office: Word/Office 2016 (32 e 64 bits), Office LTSC 2019–2024, Microsoft 365 Apps for Enterprise, além de instâncias de Microsoft SharePoint Server (2019 e Enterprise Server 2016). A edição LTSC para Mac 2021/2024 consta como ainda sem atualização disponível no momento da publicação.
Embora a falha exija interação do usuário, o alcance é amplo dado o uso difundido do Outlook em ambientes corporativos e governamentais. A capacidade de executar código localmente pode levar a roubo de credenciais, movimento lateral ou implantação de cargas adicionais se não for contida.
Limites das informações / O que falta saber
A publicação que originou esta matéria afirma explicitamente que, até o momento, não há evidência de exploração ativa ou divulgação pública de código de exploração. Não foram fornecidos indicadores de comprometimento além das versões afetadas e do número do build de referência (por exemplo, build 16.0.5530.1000 para Word 2016).
Faltam dados sobre eventuais exploits privados em circulação, taxas de exploração em ambientes reais ou relatos de vítimas identificadas. Equipes de resposta devem monitorar telemetria de e‑mail, detecção de anomalias em hosts e logs de endpoints para sinais de execução de processos inesperados após interações de e-mail.
Repercussão / Próximos passos
Microsoft orienta que “organizations should prioritize installing the available security updates on all affected Microsoft Office versions.” A descoberta foi reportada por Haifei Li, da EXPMON, via divulgação coordenada.
Recomendações práticas imediatas:
- Aplicar os updates distribuídos via Windows Update / Microsoft Download Center assim que possível;
- Identificar e priorizar sistemas com Outlook/Office nas versões listadas, especialmente dispositivos de usuários com acesso a ativos sensíveis;
- Bloquear ou isolar máquinas que apresentem comportamento anômalo após interações de e‑mail; investigar processos filhos e execução de binários não usual;
- Comunicar times de segurança e SOC para caçar tráfego e execução associada a respostas de e‑mail suspeitas;
- Para ambientes Mac afetados sem patch imediato, adotar controles compensatórios: políticas de resposta a e‑mail, filtragem robusta de mensagens e maior vigilância dos endpoints.
Sem evidência pública de exploração, a prioridade técnica permanece na aplicação de patches e na conscientização dos usuários sobre engenharia social dirigida. Onde aplicável, equipes de conformidade devem avaliar impacto sobre controles de proteção de dados; no Brasil, organizações regidas pela LGPD devem documentar medidas e eventuais riscos remanescentes enquanto a correção não é aplicada globalmente.
Fonte: Cyber Security News. Relator da descoberta: Haifei Li (EXPMON).