Sim, a CVE‑2025‑21298 afeta Windows Server e é crítica. Abaixo você encontra um guia direto ao ponto: versões impactadas, builds mínimos seguros, como aplicar o patch de 14/01/2025, mitigações provisórias e scripts em PowerShell para auditar e comprovar a correção em escala.
Resumo executivo
- O que é: falha de remote code execution (RCE) no Windows OLE, classificada como Crítica (CVSS 3.1 = 9.8; CWE‑416 use‑after‑free).
- Afeta: múltiplas edições do Windows, incluindo Windows Server 2008/2008 R2, 2012/2012 R2, 2016, 2019, 2022 (incl. 23H2) e 2025.
- Vetor comum: e‑mail com conteúdo RTF malicioso que dispara o OLE — pré‑visualizar no Outlook em sistemas vulneráveis já basta para a execução (“zero‑click”). O componente vulnerável é do Windows (OLE), não do Outlook.
- Correção: aplicar as atualizações de 14 de janeiro de 2025 e confirmar o build contra a matriz abaixo. Reinicie quando solicitado.
- Mitigações temporárias: ler e‑mails em texto simples, filtrar RTF/objetos OLE no gateway, reforçar privilégio mínimo.
CVE‑2025‑21298 se aplica ao Windows Server?
Sim. A vulnerabilidade impacta servidores Windows amplamente. Versões com build abaixo dos valores a seguir permanecem vulneráveis e precisam de atualização para igual ou superior:
| Edição do Windows Server | Build mínimo seguro | Observações |
|---|---|---|
| Windows Server 2016 | 14393.7699 | Exige reinicialização após o patch. |
| Windows Server 2019 | 17763.6775 | CU de 14/01/2025 ou posterior. |
| Windows Server 2022 | 20348.3091 | Inclui Datacenter/Standard; reinício requerido. |
| Windows Server 2022 23H2 | 25398.1369 | Aplica-se às edições suportadas com 23H2. |
| Windows Server 2025 | 26100.2894 | Build seguro após Patch Tuesday de jan/2025. |
| Windows Server 2008/2008 R2 e 2012/2012 R2 | Consulte o canal de suporte aplicável | Dependem de ESU/sofrendo limitações de suporte; priorize migração. |
Criticidade e impacto
A falha permite execução remota de código sem interação do usuário (UI: N) e sem privilégios prévios (PR: N) quando o conteúdo malicioso é processado pelo OLE. Com CVSS 9.8 e danos potenciais a Confidencialidade, Integridade e Disponibilidade (C, I, A: Alto), o risco operacional é elevado, especialmente em servidores com funções de correio, file servers acessados a partir de estações vulneráveis e hosts de aplicações que processam documentos.
Como a exploração costuma ocorrer
- E‑mail/Outlook: mensagem especialmente criada (ex.: RTF) que aciona o OLE; em versões vulneráveis, a pré‑visualização do e‑mail já pode executar o código do atacante.
- Origem do problema: a falha está no Windows OLE. Atualizar apenas o Outlook/Office não remove o risco; o patch é do SO.
- Contexto de ameaça: proof‑of‑concept público e análises independentes já circulam, o que tipicamente acelera a armação de campanhas de exploração.
Correção recomendada
- Aplique imediatamente as atualizações cumulativas de 14 de janeiro de 2025 via Windows Update, WSUS, SCCM/MECM ou Intune para todas as versões suportadas do Windows Server.
- Reinicie os servidores quando solicitado. O patch atualiza componentes de sistema (OLE), exigindo reboot para efetivar.
- Valide o build pós‑atualização com os números da tabela. Use os scripts abaixo para automatizar a verificação.
Mitigações temporárias (se não puder atualizar já)
- Outlook em texto simples: habilitar “Ler todo o correio padrão em texto sem formatação” para impedir renderização de RTF/objetos OLE. Impacta a formatação, mas reduz o risco.
- Gateway de e‑mail: filtrar anexos/conteúdos RTF e blocos OLE de remetentes não confiáveis; bloquear TNEF/RTF quando possível.
- Privilégio mínimo e segmentação: reduzir superfície e impacto via least privilege, credenciais de baixo privilégio e segmentação de rede (bloqueio lateral).
- Endurecimento do Office/Apps: reforçar modos de exibição protegida e políticas que desabilitam conteúdo ativo incorporado quando aplicável.
Como comprovar que o servidor está corrigido
Você deve verificar duas coisas: (1) o build do SO atingiu o mínimo seguro; e (2) a atualização de 14/01/2025 (ou posterior) foi de fato instalada e o servidor foi reiniciado.
Comandos rápidos (local)
# Build atual (combina CurrentBuild + UBR)
$os = Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion'
"{0} — Build {1}.{2}" -f $os.ProductName,$os.CurrentBuild,$os.UBR
Conferir últimas atualizações instaladas
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10 |
Format-Table -Auto Source, HotFixID, InstalledOn Auditoria em massa (vários servidores)
Use a matriz de builds mínimos seguros abaixo no seu script de conformidade. O exemplo lê uma lista de servidores, consulta o build remoto e emite um CSV com o status.
# arquivo: servidores.txt (um nome por linha)
ex.: DC01
APP02
FS03
$minimos = [ordered]@{
"Windows Server 2016" = [version]"10.0.14393.7699"
"Windows Server 2019" = [version]"10.0.17763.6775"
"Windows Server 2022" = [version]"10.0.20348.3091"
"Windows Server 2022 23H2" = [version]"10.0.25398.1369"
"Windows Server 2025" = [version]"10.0.26100.2894"
}
$alvo = Get-Content ".\servidores.txt" | Where-Object { $ -and $.Trim() -ne "" }
$result = foreach ($s in $alvo) {
try {
$reg = Invoke-Command -ComputerName $s -ScriptBlock {
Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' |
Select-Object ProductName, ReleaseId, DisplayVersion, CurrentBuild, UBR, BuildLabEx
} -ErrorAction Stop
$nome = $reg.ProductName
$build = [version]("{0}.{1}" -f $reg.CurrentBuild,$reg.UBR)
$min = $null
# Descobrir qual mínimo aplicar com base no nome do produto
foreach ($k in $minimos.Keys) {
if ($nome -like "$k*") { $min = $minimos[$k]; break }
}
if (-not $min) {
$min = [version]"0.0"
}
[pscustomobject]@{
Servidor = $s
Produto = $nome
BuildAtual = $build
BuildMinimo = $min
Conformidade = if ($build -ge $min) { "OK" } else { "VULNERÁVEL" }
DisplayVersion = $reg.DisplayVersion
ReleaseId = $reg.ReleaseId
BuildLabEx = $reg.BuildLabEx
DataColetaUTC = (Get-Date).ToUniversalTime()
}
}
catch {
[pscustomobject]@{
Servidor = $s
Produto = $null
BuildAtual = $null
BuildMinimo = $null
Conformidade = "ERRO_CONEXAO"
DisplayVersion = $null
ReleaseId = $null
BuildLabEx = $null
DataColetaUTC = (Get-Date).ToUniversalTime()
}
}
}
$result | Tee-Object -FilePath ".\CVE-2025-21298-auditoria.csv" | Format-Table -Auto
Write-Host "Relatório salvo em .\CVE-2025-21298-auditoria.csv"
Validação por política de change management
- Documente o build antes/depois e o KB aplicado (ID e data).
- Capture a janela de manutenção e o número de ticket.
- Registre o reinício, tempo de indisponibilidade e sucesso de serviços críticos.
Guia passo a passo para aplicar o patch
WSUS/MECM/SCCM
- Sincronize o catálogo e aprove as atualizações de janeiro/2025 para os grupos de destino.
- Agende a instalação fora do horário de pico; habilite a opção de deadline com reinício automático.
- Monitore a conformidade por coleção/grupo e reprograme máquinas com falha.
Intune/Windows Update for Business
- Confira que os anéis de atualização estão liberando a CU de 14/01/2025.
- Use políticas de reinício para aplicar o patch sem intervenção manual.
- Audite builds com relatório de dispositivo e/ou o script acima via Proactive remediations.
Servidores isolados/sem gestão
- Baixe e instale a atualização cumulativa de janeiro/2025 aplicável ao SKU.
- Reinicie e valide o build.
- Programe a entrada desses hosts em um repositório de patches (WSUS/Intune) para evitar lacunas futuras.
Boas práticas de mitigação e endurecimento
- Texto simples no Outlook: política para leitura em texto sem formatação em contas de alto risco (helpdesk, finanças, executivos).
- Filtro no gateway: bloqueio/remoção de conteúdo RTF e OLE de remetentes externos; quarentena para análise.
- Segmentação de rede: servidores críticos com ACLs estritas; sem tráfego desnecessário entre zonas.
- Privilégios Just‑Enough/Just‑In‑Time: credenciais administrativas efêmeras e mínimas; MFA obrigatório.
- Inventário contínuo: CMDB com risco e criticidade; varredura periódica de build para garantir que novos servidores já nasçam conformes.
Checklist rápido
- [ ] Atualizações de 14/01/2025 aprovadas e distribuídas.
- [ ] Reinício concluído em todos os servidores.
- [ ] Builds validados com matriz de mínimos seguros.
- [ ] Mitigações temporárias aplicadas onde atualização imediata não é possível.
- [ ] Relatório CSV gerado e arquivado no ticket de mudança.
Perguntas frequentes
É preciso atualizar o Outlook? Atualizar o Office é sempre saudável, mas não resolve esta CVE, que está no Windows (OLE). O patch do SO é indispensável.
Existe exploração ativa? Há PoC público e análises técnicas disponíveis; trate como prioridade alta.
Preciso reiniciar? Sim. O patch atua em componentes de sistema; sem reinício, o risco permanece.
Como sei qual build tenho? Veja os comandos de verificação e os scripts acima. Compare com a tabela de mínimos seguros.
Servidores antigos (2008/2012) estão cobertos? Dependem de contratos/ESU. Se não houver suporte aplicável, priorize mitigação forte e plano de migração.
Conclusão
A CVE‑2025‑21298 é uma vulnerabilidade crítica de RCE no Windows OLE que impacta Windows Server em várias versões. A correção está disponível desde 14 de janeiro de 2025 e deve ser aplicada com urgência. Use a matriz de builds, os scripts de auditoria e as mitigações temporárias deste guia para reduzir o risco imediatamente e comprovar a conformidade. Se quiser, posso te ajudar a checar rapidamente os builds/patches das suas versões de Server e sugerir comandos PowerShell para auditoria.
Anexo — matriz de referência (copiar/colar no seu runbook)
Windows Server 2016 >= 14393.7699
Windows Server 2019 >= 17763.6775
Windows Server 2022 >= 20348.3091
Windows Server 2022 23H2 >= 25398.1369
Windows Server 2025 >= 26100.2894
Nota: As informações acima foram consolidadas a partir de comunicados oficiais e análises técnicas do setor. Em ambientes regulamentados, registre as evidências (prints, relatórios CSV e IDs de atualização) junto ao processo de gestão de mudanças.