Os dados do 2026 Microsoft Vulnerabilities Report evidenciam uma verdade desconfortável para equipes de segurança: não é o volume total de CVE o que determina o risco real de uma organização, mas a concentração de vulnerabilidades que habilitam ataques silenciosos e de alto impacto. Em 2025, a Microsoft publicou 1.273 vulnerabilidades, um número semelhante a anos anteriores, mas as falhas críticas duplicaram (de 78 a 157), um sinal claro de que a estabilidade aparente no número total pode mascarar um aumento no potencial de dano.
O padrão mais relevante é o deslocamento para vulnerabilidades que facilitam escalada de privilégios e filtração de informações: Elevation of Privilege representou cerca de 40% dos CVE, enquanto as vulnerabilidades de Information Disclosure cresceram 73% homólogas. Isso não é inocuo: um adversário que obtém credenciais ou escolhe rotas de reconhecimento silenciosas pode se mover lateralmente como um usuário legítimo, evadir detecção e maximizar impacto sem necessidade de exploits “ruidosos”. Esta tendência corresponde às técnicas descritas no âmbito MITRE ATT&CK, que priorizam acesso persistente e movimento lateral ( MITRE ATT&CK).
A nuvem e as plataformas de produtividade emergem como áreas de alto risco: Azure e Dynamics 365 viram um salto preocupante em vulnerabilidades críticas (de 4 a 37), e no Azure/Entra ID apareceram falhas como CVE-2025-55241 — um erro que permitia falsificar tokens aceitos em múltiplos tenants — o que demonstra que uma única identidade mal configurada pode entregar “as chaves do reino” a um atacante. O Microsoft Office, por sua vez, aumentou suas vulnerabilidades 234% e multiplicou por dez seus CVE críticos; dado que o Office é o ponto de contato habitual com os usuários, isto amplifica o risco de entrada via engenharia social e documentos maliciosos.
Os servidores ainda são objetivos prioritários: Windows Server acumulou 780 vulnerabilidades, 50 delas críticas. Atacar servidores oferece aos atacantes acesso mais rápido e profundo do que um ponto final isolado, porque geralmente estes executam serviços com privilégios elevados e sustentam processos empresariais críticos. Por isso, confiar apenas em “parchear tudo o crítico” não garante proteção se a arquitetura de identidades e privilégios ainda é fraca.
As implicações práticas são claras: a mitigação eficaz exige deslocar o foco desde a mera gestão de adesivos para uma estratégia centrada em reduzir o blast radius e controlar identidades e privilégios. Isto implica auditar e eliminar autorizações administrativas permanentes, aplicar o leiast privilege a contas humanas e máquinas (incluindo agentes da IA), e tratar contas de serviço e agentes com a mesma rigurosidade que usuários reais. Muitas organizações ainda carecem de controles específicos para a identidade de agentes de IA e de mecanismos para auditar seus tokens e permissões em tempo real.
As ações prioritárias devem ser contextuales e contínuas: priorizar correções não por CVSS puro, mas pelo papel da vulnerabilidade em cadeias de ataque (facilita escalada, movimento lateral ou acesso a controle planos cloud?), mapear achados a frameworks como MITRE ATT&CK e cenários de negócio, e aplicar controles compensatórios imediatos quando um adesivo não é viável. Entre essas medidas cabem a rotação e eliminação de credenciais permanentes, habilitar MFA e Conditional Access no Azure AD, segmentação de rede para reduzir alcance lateral, e monitoramento e alertas específicos para comportamento de identidade atípico.
No plano técnico-operacional, convém reforçar detecção e resposta com telemetria focada em identidades e tokens (logs de emissão e validação, anomalias em uso de service principals), integrar ferramentas de gestão de privilégios (PAM/PSM), e monitorar vetores do Office (preview panes, macros, add-ins) que voltaram a ganhar relevância. Não é suficiente um adesivo: Há que fechar a porta de escalada de privilégios e monitorar constantemente quem tem as chaves e como as usa. Para referência pública sobre divulgação e seguimento de erros, convém consultar recursos como o Catálogo Nacional de Vulnerabilidades (NVD) do NIST ( NVD) e Microsoft Security Response Center ( MSRC).
Finalmente, a governança deve incorporar a gestão de novos atores no perímetro de confiança, em especial agentes de IA. Sem políticas claras de identidade, permissões mínimas e visibilidade contínua, esses agentes podem se tornar vetores de escalada tão perigosos quanto contas humanas. A recomendação estratégica é avançar para modelos de Zero Standing Privilege, gestão contínua de entitlements e priorização baseada em contexto de impacto empresarial: isso transforma a resposta de adesivo reativa em uma estratégia proativa que reduz o dano quando aparecem vulnerabilidades críticas.
Se a sua organização ainda basear a sua segurança em métricas de contagem de CVE, é altura de mudar o tabuleiro: veja quem pode fazer o que, em que contexto e com que facilidade uma falha pode transformar uma credencial comprometida em um compromisso em grande escala. Para aprofundar as conclusões e as orientações da análise, pode baixar o relatório completo aqui: 2026 Microsoft Vulnerabilities Report.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...