Esta semana, a Microsoft publicou sua atualização mensal de segurança com uma carga importante: corrigiram um total de 59 vulnerabilidades e entre elas há seis que, segundo a empresa, já estavam sendo exploradas em ambientes reais. A maioria das falhas são classificadas como de importância alta, embora também haja cinco classificados como críticos e um par como moderados. As correcções incluem problemas que permitem escalar privilégios, executar código à distância, suplantações, filtragem de informações e outros vectores que os atacantes costumam aproveitar.
Entre as vulnerabilidades que a Microsoft destaca por estar ativamente exploradas aparecem uma série de entradas com identificadores públicos. Por exemplo, CVE-2026-21510 Ele descreve uma falha no Windows Shell que quebra um mecanismo de proteção e pode permitir que um atacante evite controles de segurança através da rede; o detalhe oficial pode ser consultado no guia da Microsoft: CVE-2026-21510. Outros erros assinalados incluem CVE-2026-21513, relacionado com o motor MSHTML que renderiza conteúdo HTML em múltiplas aplicações, e CVE-2026-21514, que afeta o Microsoft Word e se aproveita por arquivos ofimáticos maliciosos. A lista completa de erros e a sua classificação está disponível na compilação da atualização: nota da actualização de Fevereiro de 2026.
As análises da comunidade de segurança ajudam a entender como funcionam essas vulnerabilidades na prática. Desde Action1 explicaram que, no caso da falha no MSHTML, a vulnerabilidade permite projetar arquivos que sorteem os avisos de segurança do Windows e executem ações perigosas com apenas um clique; mais detalhes e a perspectiva de sua pesquisa aparecem no seu artigo: comentário da Action1. Por seu lado, pesquisadores de Tenable apontam similaridades entre várias dessas falhas - por exemplo, entre as que afetam o Windows Shell, MSHTML e Office -, destacando que algumas podem ser ativadas através de arquivos HTML e outras apenas por documentos ofimáticos.
Além disso, uma das correções (CVE-2026-21525) está ligada a um zero-dia que já havia sido investigado pela comunidade: o serviço 0patch de ACROS Security publicou microparches enquanto aprofundava um problema relacionado no mesmo componente, e seu relatório sobre essa pesquisa pode ser lido no blog de 0patch: entrada de 0patch. Estas peças encaixam num padrão que vamos ver: um problema é descoberto em contexto de outras falhas semelhantes, e os caçadores de vulnerabilidades acabam encontrando várias rotas de exploração dentro do mesmo subsistema.
Nem todas as vulnerabilidades são exploradas remotamente sem interação. Como recordam os especialistas, há falhas de elevação de privilégios locais — por exemplo, CVE-2026-21519 e CVE-2026-21533 — que exigem que o atacante já tenha acesso ao sistema afetado. Essa fase prévia pode ser alcançada mediante um adjunto malicioso, exploração prévia de RCE, ou movimento lateral dentro de uma rede comprometida; uma vez alcançado o sistema objetivo, as vulnerabilidades de escalado permitem alcançar privilégios de SYSTEM e, consequentemente, desativar defesas, instalar malware persistente ou extrair credenciais com potencial para comprometer domínios inteiros, como explicou Kev Breen em declarações reproduzidas por meios especializados.
A gravidade do pacote obrigou as autoridades a reagir: a CISA acrescentou as seis vulnerabilidades exploradas ao seu catálogo de Known Exploited Vulnerabilities (KEV), o que significa que as agências federais dos EUA estão obrigadas a colocar os adesivos antes de uma data-limite estabelecida (neste caso, em 3 de Março de 2026). Essa inclusão costuma traduzir-se em uma pressão adicional para que grandes organizações e administradores acelerem a aplicação de adesivos.
A atualização coincide também com outro movimento que afetará o arranque seguro de muitos dispositivos: a Microsoft está instalando certificados do Secure Boot renovados para substituir os originais de 2011 que expiram este verão. A empresa explicou que os novos certificados serão instalados através das atualizações mensais do Windows, sem intervenção adicional por parte do usuário. A Microsoft adverte, no entanto, que se uma equipe não receber os certificados renovados antes do termo, continuará funcionando, mas entrará em um estado com segurança degradada, perdendo a capacidade de receber futuras mitigações a nível de arranque e, com o tempo, correndo o risco de incompatibilidades: explicação da Microsoft.
Em paralelo, a Microsoft está mudando como o Windows protege e solicita consentimento para ações sensíveis. As iniciativas denominadas Windows Baseline Security Mode e User Transparency and Consent visam endurecer a política por defeito para que apenas componentes assinados e verificados possam ser executados em tempo de execução e, ao mesmo tempo, fornecer avisos mais claros quando uma aplicação ou agente - incluindo os impulsionados por IA - tente acessar recursos sensíveis como arquivos ou câmera. A empresa apresentou essas medidas como parte de seus esforços de resiliência e futuro seguro do sistema operacional; há uma exposição técnica no blog oficial: detalhes do Windows Baseline Security Mode e User Transparency and Consent.
O que deveriam fazer usuários e administradores agora mesmo? Em termos práticos, a prioridade imediata é testar e instalar os adesivos oficiais em todos os equipamentos e servidores compatíveis, começando pelos sistemas expostos à Internet e por aqueles que suportam serviços críticos. Paralelamente, convém rever mecanismos de detecção e resposta: registos de acesso, alertas de movimentos laterais e qualquer sinal de escalagem de privilégios. Em ambientes empresariais é aconselhável coordenar a atualização com testes de compatibilidade e planos de contingência para minimizar interrupções. Por outro lado, verificar que as equipes recebem a atualização de certificados do Secure Boot e manter políticas de controle de execução, assinaturas de código e listas de permissões contribuirão para reduzir a superfície de ataque a médio prazo.
Para aqueles que querem consultar fontes primárias e aprofundar em cada vulnerabilidade, o guia da Microsoft sobre a atualização de fevereiro, as notas de segurança de Edge e as páginas de cada CVE contêm a informação técnica e as mitigações recomendadas. As referências referidas neste artigo incluem a nota da Microsoft sobre a atualização de fevereiro ( MSRC), as correcções posteriores para Edge ( notas de segurança de Edge), as fichas técnicas das CVE mencionadas ( CVE-2026-21513, CVE-2026-21514, CVE-2026-21519, CVE-2026-21525, CVE-2026-21533), análise de Action1 ( Action1), a entrada de 0patch ( 0patch) e o aviso de CISA sobre a inclusão no seu catálogo KEV ( CISA).
Em segurança não há receitas mágicas: patchar a tempo, instrumentar detecção e manter políticas mínimas de controle de execução e boas práticas de acesso continuam sendo as melhores defesas frente a campanhas que aproveitam falhas conhecidas. Este adesivo da Microsoft é mais um lembrete de que a manutenção contínua e a atenção aos avisos de segurança são obrigações que não convém adiar.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...