A Microsoft publicou esta semana um pacote de correções que corrige um total surpreendente de 169 falhas de segurança No seu catálogo de produtos, e entre eles figura pelo menos uma vulnerabilidade que já está sendo explorada na natureza. O número converte este adesivo mensal em um dos maiores da história recente da empresa, apenas por trás do recorde alcançado em outubro de 2025.
Desses 169 falhas relatadas, a imensa maioria tem sido qualificada como de importância elevada: 157 com severidade “Important”, oito como “Critical”, três como “Moderate” e um como “Low”. Quanto ao tipo de erros, predominam as vulnerabilidades que permitem escalar privilégios(93 casos), seguidas por filtros de informação (21), execução remota de código (21), omissões de segurança (14), suplantação (10) e recusa de serviço (9). A lista inclui ainda quatro CVE que não são da Microsoft diretamente, mas que afetam componentes ou projetos relacionados, como AMD, Node.js, Windows Secure Boot e Git para Windows.
As correcções também incluem as atualizações já aplicadas ao navegador Edge baseado no Chromium desde o mês passado, o que aumenta o alcance global deste ciclo de adesivos. Analistas como Satnam Narang, de Tenable, apontaram que a tendência de 2026 aponta para uma normalidade preocupante: mais de mil CVE anuais nas atualizações mensais, com uma notável preponderância de erros de elevação de privilégios nos últimos meses. Para contrastar esta perspectiva e consultar os guias oficiais da Microsoft, você pode visitar seu centro de avisos de segurança em MSRC ou guia de atualizações de segurança da Microsoft em Microsoft Learn.
A falha que já foi ligada a atividade maliciosa no mundo real é a registrada como CVE-2026-32201, uma vulnerabilidade de suplantação no Microsoft SharePoint Server que a Microsoft descreve como um problema de validação de entradas. Em termos práticos, isso permite a um atacante enganar a apresentação de conteúdo ou interfaces dentro do SharePoint, o que pode levar os usuários a receber ou modificar informações que aparentam ser legítimas. Uma vez que a exploração pode afectar a confidencialidade e a integridade de dados, mesmo que sem interromper a disponibilidade, a gravidade está destinada a facilitar ataques posteriores por enganos dirigidos.
A entrada desta falha no catálogo de vulnerabilidades exploradas conhecidas da Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA. ( CISA KEV) implica que as agências federais devem mitigar o problema antes de uma data limite determinada. Essa inclusão é um indicador claro de que os responsáveis pela segurança devem acelerar a aplicação de sistemas e controlos compensatórios em ambientes corporativos e governamentais.
Outro assunto que chamou a atenção é uma vulnerabilidade. elevação de privilégios na Microsoft Defender anotada como CVE-2026-33825, declarada publicamente ao mesmo tempo que chegou o adesivo. A Microsoft explica que um atacante com acesso autorizado ao sistema poderia aproveitar controles de acesso insuficientes para alcançar privilégios mais altos; no entanto, os equipamentos que mantêm a Defender ativado costumam receber a correção automaticamente, porque a plataforma é atualizada de forma contínua por defeito. Em máquinas onde Defender está desactivado, a fraqueza não seria explorável.
Essa correção está relacionada a um exploit conhecido como "BlueHammer", cujo código foi publicado no GitHub em abril de 2026 por um pesquisador que assinou como "Chaotic Eclipse" após um conflito no processo de divulgação com a Microsoft. De acordo com a análise técnica disponível, a BlueHammer trabalhava sobre o mecanismo de atualização e reparação de Defender aproveitando instantâneas do Volume Shadow Copy para expor arquivos de registro protegidos e, desse modo, permitir a leitura de bases de dados sensíveis e a substituição temporária de hashes de senhas. Embora o repositório público exigia início de sessão e desde então parte do exploit deixa de funcionar segundo vários pesquisadores, o surgimento de código público acelerou a necessidade de adesivo.
Pesquisadores de empresas como Cyderes e comentários públicos de pesquisadores independentes descreveram como o exploit encadeava funcionalidades legítimas do Windows —callbacks da Cloud Files e bloqueios de arquivo — para pausar processos e deixar material sensível acessível em um momento concreto do fluxo de atualização de Defender. Na prática, um atacante bem-sucedido poderia obter acesso à base SAM, decifrar hashes NTLM e se elevar a nível SYSTEM, além de restaurar o estado original para dificultar a detecção.
De maior impacto potencial em ambientes ligados à Internet é a vulnerabilidade de execução remota de código no serviço IKE (Internet Key Exchange) v2, referenciada como CVE-2026-33824 e com uma pontuação CVSS quase máxima de 9.8. O IKEv2 é usado para negociar túneis seguros em VPN e IPsec, e ao estar pensado para operar com redes não confiáveis costuma ser exposto a tráfego externo em muitos desdobramentos empresariais. Os investigadores de segurança alertaram que o erro permite que um agente remoto envie pacotes especialmente construídos e consiga executar código sem autenticação prévia, o que, no pior dos casos, poderá supor a tomada completa de sistemas expostos.
Especialistas de empresas de detecção e resposta sublinharam que as vulnerabilidades do tipo RCE que não requerem interação do usuário são especialmente perigosas para serviços acessíveis da Internet, pois facilitam exploração automática e movimento lateral em redes corporativas. Para as equipes de TI a recomendação que surge da gravidade do achado é priorizar a proteção das máquinas que oferecem IKEv2 para o exterior e aplicar os adesivos com a máxima rapidez.
A avalanche de correcções deste mês reflete também uma tendência na qual as falhas de elevação de privilégios dominam o conjunto de remediações, enquanto as execuções remotas de código diminuíram proporcionalmente. Isso não significa que o risco seja menor: pelo contrário, um exploit local que permita saltar barreiras de segurança pode ser o primeiro passo para campanhas mais amplas e difíceis de conter.
Se você administra sistemas Windows ou serviços corporativos baseados no SharePoint, Defender ou VPN/IPsec, você precisa agir já. Aplica as atualizações oficiais da Microsoft o mais rapidamente possível; em ambientes onde o adesivo não pode ser aplicado imediatamente, o correio com os avisos técnicos da Microsoft e as recomendações de mitigação podem ser consultadas em MSRC e no guia de atualizações. Para organizações que devem cumprir requisitos regulatórios ou de segurança, verificar a lista da CISA sobre vulnerabilidades exploradas conhecidas e seus prazos de correção ajuda a priorizar esforços: https://www.cisa.gov/known-exploited-vulnerabilities-catalog.
Para além do sistema transdérmico, convém rever os registos de acesso, monitorizar comportamentos invulgares e reforçar controlos de privilégios e segmentação de rede para limitar o impacto de uma possível exploração. As atualizações automáticas de Defender oferecem uma barreira prática contra algumas ameaças, mas a segurança em profundidade continua sendo a melhor defesa contra cadeias de ataque complexas.
Para aqueles que querem aprofundar a análise e o contexto, os laboratórios de segurança e assinaturas especializadas mantêm análises técnicas e contextualizações úteis sobre esses achados. Publicações e blogs de empresas como Rapid7, Tenable ou Action1 Eles geralmente oferecem despieces técnicos e recomendações práticas que complementam os avisos oficiais.
Em resumo, este ciclo de adesivos é um lembrete de que a superfície de ataque continua crescendo e que a gestão ágil de atualizações, juntamente com práticas de redução de privilégios e visibilidade constante, são imprescindíveis. Não é altura de subestimar nem uma só destas correcções: alguns atacam pontos de entrada que, uma vez comprometidos, permitem escaladas e movimentos que convertem um incidente menor em uma lacuna grave.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...