A Microsoft corrigiu uma vulnerabilidade de execução remota de código no Notepad do Windows 11 que permitia a invasores rodar programas locais ou remotos ao enganar usuários para clicarem em links Markdown especialmente criados.
Tudo acontecia sem qualquer aviso de segurança do sistema.
Desde o lançamento do Windows 1.0, o Notepad é um editor de texto simples, conhecido pela praticidade para anotar ideias, ler arquivos de texto, criar listas de tarefas ou até editar código.
Para quem precisava de suporte ao Rich Text Format (RTF), com diferentes fontes, tamanhos e formatações como negrito, itálico e listas, existiam os programas Write e, depois, o WordPad.
Com o Windows 11, a Microsoft decidiu descontinuar o WordPad, removendo-o do sistema.
Em seu lugar, modernizou o Notepad, que passou a funcionar tanto como editor de texto simples quanto com suporte a RTF, incluindo suporte a Markdown.
Essa linguagem permite formatar textos de forma simples e inserir links clicáveis usando arquivos .md — documentos de texto puro que utilizam símbolos para definir elementos como listas e links.
Por exemplo, para criar um texto em negrito ou um link clicável em Markdown, usa-se a sintaxe simples:
```
[Texto do link](http://exemplo.com)
```
No Patch Tuesday de fevereiro de 2026, a Microsoft liberou a correção de uma falha crítica no Notepad registrada como
CVE-2026-20841
, que permitia execução remota de código.
Segundo o boletim de segurança da empresa, o problema estava na “neutralização inadequada de elementos especiais usados em comandos (‘command injection’) no aplicativo Windows Notepad”, o que permitia que um invasor executasse código na máquina da vítima via rede.
A descoberta foi atribuída aos pesquisadores Cristian Papa, Alasdair Gorniak e Chen.
A exploração da falha ocorria quando o usuário abria um arquivo Markdown malicioso no Notepad e clicava em um link preparado para executar arquivos locais ou remotos por meio de protocolos não verificados.
“Ao clicar em um link malicioso dentro de um arquivo Markdown no Notepad, o aplicativo passava a abrir protocolos que carregavam e executavam arquivos remotos, sem qualquer verificação”, explicou a Microsoft.
O código malicioso rodava com as permissões do usuário que abriu o arquivo, aumentando os riscos.
Após a divulgação, especialistas em segurança demonstraram rapidamente como explorar o problema era simples: bastava criar um arquivo .md com links usando o formato file:// apontando para executáveis, ou URIs especiais, como ms-appinstaller://.
Se o usuário visualizasse esse arquivo no modo Markdown no Notepad (versão 11.2510 ou anteriores) e clicasse no link com Ctrl+clique, o programa era executado automaticamente, sem qualquer alerta do Windows.
A ausência de aviso caracteriza a falha como execução remota de código.
Além disso, links para arquivos em compartilhamentos SMB remotos também podiam ser acionados automaticamente, ampliando o potencial de ataque.
Atualmente, ao clicar em links com protocolos como file:, ms-settings:, ms-appinstaller:, mailto: e ms-search:, o Notepad exibe uma caixa de diálogo de confirmação que exige a aprovação do usuário.
Por outro lado, ainda não está claro por que a Microsoft não bloqueou completamente links não padrão, já que usuários desatentos podem ser induzidos a clicar no botão “Sim” do alerta.
A boa notícia é que o Notepad é atualizado automaticamente pela Microsoft Store no Windows 11, o que deve garantir que essa falha seja corrigida para a maioria dos usuários rapidamente, minimizando seu impacto.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...