A Microsoft publicou sua rotina de atualizações de segurança e, como costuma acontecer, traz consigo uma mistura de adesivos urgentes e problemas que convém monitorar de perto. Nesta tanda há 84 vulnerabilidades corrigidas em diferentes componentes, das quais. Entre as falhas destacam-se uma porcentagem elevada de bugs que permitem escalar privilégios, vários problemas de execução remota de código e um par de falhas já divulgados publicamente, ou seja, que poderiam estar no radar de atacantes.
A lista oficial da Microsoft resume o conjunto de correções e é o ponto de partida para qualquer administrador que tenha que priorizar a implantação: Guia de Modificações de Março de 2026. Além disso, desde a atualização de fevereiro, foram abordadas vulnerabilidades em Edge baseadas em Chromium; a Microsoft detalha essas correções nas notas de versão do navegador: notas de segurança Microsoft Edge.
Entre as vulnerabilidades já divulgadas publicamente há dois que convém anotar primeiro. Uma é uma falha de recusa de serviço em .NET CVE-2026-26127, e a outra é uma elevação de privilégios no SQL Server CVE-2026-21262. Ambos possuem escores de gravidade relevantes e devem ser parte da avaliação imediata em ambientes corporativos.
Um achado marcante deste ciclo é uma vulnerabilidade de execução remota com a pontuação mais alta registrada este mês: CVE-2026-21536, relacionada ao Microsoft Devices Pricing Program e com uma pontuação CVSS próxima ao máximo. A Microsoft indica que este problema já foi totalmente mitigado, pelo que os usuários não têm que tomar medidas adicionais em seus ambientes, mas a origem da descoberta é interessante: a detecção foi atribuída a uma plataforma de descoberta de vulnerabilidades impulsionada por inteligência artificial chamada XBOW.
Mais preocupante, pela sua frequência e pelo tipo de uso que os atacantes fazem, é a enorme proporção de erros de escala de privilégios: quase metade dos erros corrigidos pertencem a esta categoria. Especialistas de empresas de segurança destacaram que estes bugs são especialmente valiosos para atores maliciosos porque costumam ser usados na fase pós-compromissiva, ou seja, uma vez que já conseguiram entrar no sistema por outro meio. Entre os vetores afetados este mês incluem componentes gráficos do Windows, infraestrutura de acessibilidade, núcleo do sistema, servidor SMB e processos críticos como Winlogon.
O problema em Winlogon merece um ponto próprio. A vulnerabilidade CVE-2026-25187 Permite a um atacante local com permissões reduzidas aproveitar um comportamento de rastreamento de links no processo Winlogon para obter privilégios SYSTEM. Pesquisadores externos foram reconhecidos pelo relatório da Microsoft por identificar este erro, e os analistas apontam que sua complexidade de exploração é baixa e que não requer interação do usuário, o que a torna um objetivo direto se um atacante já tiver acesso inicial à equipe.
Outro caso relevante afeta a pilha de IA e nuvem da Microsoft: uma vulnerabilidade tipo Server-Side Request Forgery (SSRF) no Azure Model Context Protocol (MCP) Server, CVE-2026-26118. Em essência, um servidor MCP que aceita parâmetros fornecidos pelo usuário pode ser induzido a fazer um pedido de saída para um URL controlado pelo atacante, e nesse processo poderia incluir o token de identidade administrado (managed identity) do serviço. Se esse token ficar exposto, um atacante poderia atuar com as permissões associadas a essa identidade e mover-se lateralmente ou acessar recursos autorizados para o serviço afetado. A combinação de serviços gerenciados por identidades e chamadas outbound faz este tipo de falhas especialmente caro em ambientes na nuvem.
Também merece atenção um problema de divulgação de informações no Excel, identificado como CVE-2026-26144, que ocorre por uma neutralização inadequada de entradas ao gerar páginas web. A Microsoft adverte que, explorado em determinadas condições, pode provocar que o modo Copilot Agent exfiltrase dados sem interação do usuário. Em empresas onde as folhas de cálculo contêm dados financeiros ou propriedade intelectual, este tipo de falhas pode ter consequências graves porque permitem fugas silenciosas de fontes que os funcionários usam diariamente.
Diante disso, as recomendações práticas não são surpreendentes, mas sim urgentes: atualizar quanto antes os sistemas críticos, priorizando os adesivos que corrigem escalados de privilégios e os erros divulgados publicamente. Além de aplicar atualizações, é conveniente rever o uso de identidades administradas e as aplicações que realizam chamadas a recursos externos, limitar privilégios ao mínimo necessário e monitorizar atividade incomum que possa indicar movimentos laterais após um acesso inicial.
Em paralelo aos adesivos, a Microsoft anunciou uma mudança de comportamento no Windows Autopatch: a partir da atualização de maio de 2026, a opção de aplicar hotpatches de segurança será ativada por defeito nos dispositivos elegíveis geridos da Microsoft Intune ou através da API da Microsoft Graph. Segundo a empresa, permitir a instalação de adesivos sem esperar um reinício pode acelerar a taxa de cumprimento até atingir níveis de ordem de 90% em metade do tempo. A explicação e alcance desta medida estão disponíveis no blog oficial da IT Pro da Microsoft: Microsoft explica a mudança no Windows Autopatch. Activar estes mecanismos pode ajudar as organizações a fechar as janelas de exposição, mas sempre deve ser feito após os testes necessários em ambientes controlados.
No final do dia, este ciclo de adesivo lembra-nos duas coisas que já se tornaram comuns em cibersegurança: as vulnerabilidades de escalagem de privilégios continuam sendo uma ferramenta chave para os atacantes, e a rápida aplicação de adesivos é a defesa mais eficiente para conter sua exploração. Se você gerencia sistemas Windows ou serviços no Azure, você precisa revisar guias oficiais, planejar a distribuição de atualizações e combinar essa ação com medidas de controle de acessos e vigilância contínua.
Para ler as fichas técnicas e detalhes de cada vulnerabilidade, a fonte primária é o guia de segurança da Microsoft onde estão documentadas individualmente: página de adesivos de março de 2026. Se você gerencia Edge, consulte também as notas específicas do navegador em: notas de segurança de Edge. E se você precisar verificar cada entrada pelo seu identificador, a Microsoft publica páginas individuais para cada CVE, por exemplo CVE-2026-26127, CVE-2026-21262, CVE-2026-21536, CVE-2026-25187, CVE-2026-26118 e CVE-2026-26144. Manter-se por dia com estas fontes é a melhor forma de reduzir riscos em infra-estruturas empresariais e domésticas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...