A Microsoft lançou ontem uma atualização fora de ciclo dirigida a equipamentos com Windows 11 Enterprise que recebem os chamados hotpatches em vez das atualizações cumulativas habituais da segunda terça-feira de cada mês. A correção, distribuída como KB5084597, aborda falhas na ferramenta de gerenciamento do Serviço de Enrutamento e Acesso Remoto (RRAS) que poderiam permitir a execução remota de código se um computador se conecta a um servidor malicioso.
Segundo a Microsoft, as vulnerabilidades resolvidas estão identificadas como CVE-2026-25172, CVE-2026-25173 e CVE-2026-26111. Nos três casos, o ataque requer que um usuário de um computador unido ao domínio seja enganado para que a consola de RRAS estabeleça uma conexão com um servidor controlado pelo atacante, o que pode resultar na execução de código na máquina administrativa.
O hotpatch KB5084597 cobre instalações do Windows 11 nas versões 25H2 e 24H2, bem como sistemas Windows 11 Enterprise LTSC 2024. A Microsoft esclarece que essas correções já faziam parte das atualizações de segurança publicadas no Patch Tuesday de março, mas que se voltaram a emitir em formato hotpatch para garantir cobertura em cenários onde um reinício programado não é viável, como em equipes que suportam serviços críticos e devem permanecer em funcionamento contínuo.
A diferença chave entre uma atualização cumulativa normal e um hotpatch é o seu modo de aplicação. Enquanto as acumulativas normalmente exigem reiniciar o sistema para que os arquivos em disco sejam atualizados e os processos se reiniciem, os hotpatches aplicam mudanças em memória para mitigar vulnerabilidades sem interromper os serviços em execução e, ao mesmo tempo, atualizam os arquivos de disco para que a correção persista após o próximo arranque. A Microsoft explica este mecanismo e sua gestão dentro do Windows Autopatch em sua documentação dedicada a hotpatch updates.
É importante salientar que este hotpatch será oferecido Só a dispositivos inscritos no programa de hotpatch e geridos pelo Windows Autopatch; nesses equipamentos a atualização é instalada automaticamente e sem solicitar reinício. Para o resto de ambientes, a proteção contra essas falhas continua sendo a instalação das actualizações cumulativas publicadas em março e, caso não estejam gerenciadas por Autopatch, planejar o reinício necessário para completar a reparação.
De uma perspectiva prática e de segurança, há várias conclusões e passos que qualquer responsável pelas infra-estruturas deveria considerar. Primeiro, verificar quais máquinas da organização estão inscritas no Windows Autopatch e, caso contrário, priorizar a instalação das actualizações cumulativas e agendar os reinícios em janelas de manutenção. Segundo, limitar o uso de consoles administrativos e evitar que os equipamentos de gestão se liguem a servidores não confiáveis; o risco descrito depende precisamente de que a ferramenta RRAS se conecte a um extremo malicioso. Terceiro, rever a segmentação de rede e as políticas de acesso para reduzir a exposição de estações administrativas a servidores externos não verificados.
A Microsoft já indicou que havia publicado hotfixes anteriores para estas falhas e que a versão distribuída agora tem por objetivo fechar espaços em todos os cenários afetados. Mesmo assim, os administradores devem ler a entrada técnica do KB e as páginas de vulnerabilidade para compreender o alcance exato e confirmar os passos a seguir no seu ambiente. A nota de suporte do hotpatch está disponível na página da Microsoft acima mencionada e as entradas detalhadas de cada CVE podem ser consultadas no catálogo de segurança da Microsoft: Microsoft Security Response Center.
Se você gerencia equipamentos que não fazem parte do programa de hotpatch e não pode permitir reinícios frequentes, convém planejar uma estratégia de mitigação adicional: restringir a administração remota através de redes controladas, empregar estações de administração dedicadas e com o mínimo software instalado, e aplicar controles de acesso que reduzam a probabilidade de um usuário autenticado ser induzido a estabelecer conexões com servidores maliciosos.
Em suma, o aparecimento do KB5084597 lembra duas ideias simples, mas relevantes: a primeira, que as ferramentas de administração remota podem se tornar vetores de ataque se não forem controladas as conexões que realizam; a segunda, que as tecnologias como o hotpatch procuram compensar as limitações operacionais de ambientes críticos, permitindo corrigir vulnerabilidades sem reinício imediatos. Para mais informações e para baixar a atualização se for caso disso, consulte a nota de suporte da Microsoft e as páginas das CVE que links acima.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...