Na terça-feira, a Microsoft lançou sua primeira atualização de segurança de 2026, corrigindo 114 vulnerabilidades, incluindo uma falha que já está sendo explorada ativamente em ambientes reais.
Das 114 falhas, oito receberam classificação Critical e 106 foram consideradas Important.
Do total, 58 vulnerabilidades envolvem elevação de privilégios, seguidas por 22 casos de divulgação de informações, 21 de execução remota de código e cinco de spoofing.
Segundo dados da Fortra, este Patch Tuesday de janeiro é o terceiro maior da história, ficando atrás apenas das edições de janeiro de 2025 e 2022.
Esses patches complementam outras duas correções para falhas no navegador Edge, divulgadas após o Patch Tuesday de dezembro de 2025.
Entre elas estão um problema de spoofing no app para Android (
CVE-2025-65046
) e uma falha de aplicação insuficiente de políticas no componente WebView do Chromium (
CVE-2026-0628
, CVSS 8.8).
A vulnerabilidade explorada in the wild é a
CVE-2026-20805
(CVSS 5.5), uma brecha de divulgação de informações que afeta o Desktop Window Manager (DWM).
A descoberta foi creditada ao Microsoft Threat Intelligence Center (MTIC) e ao Microsoft Security Response Center (MSRC).
De acordo com a Microsoft, essa falha permite que um atacante autorizado localmente acesse informações sensíveis no DWM, expondo um endereço de seção de memória do usuário via uma porta ALPC remota.
Detalhes sobre como a exploração ocorre, sua extensão e autoria ainda não foram divulgados.
Adam Barnett, engenheiro líder da Rapid7, destaca que o DWM é crucial para o gerenciamento visual do Windows, estando presente em praticamente todos os processos que exibem conteúdo, o que o torna um alvo atraente devido ao seu acesso privilegiado e ampla disponibilidade.
Ele explica que a exploração dessa vulnerabilidade resulta na divulgação indevida de um endereço de seção da memória user-mode, onde componentes do Windows coordenam ações internas.
Em maio de 2024, a Microsoft já havia corrigido uma vulnerabilidade zero-day no DWM (
CVE-2024-30051
, CVSS 7.8), também explorada ativamente com finalidade de elevação de privilégios, associada à distribuição de malwares como QakBot.
Satnam Narang, pesquisador sênior da Tenable, apelidou o DWM de "frequent flyer" do Patch Tuesday, devido às 20 vulnerabilidades corrigidas nesse componente desde 2022.
Jack Bicer, diretor de pesquisa da Action1, reforça que essa vulnerabilidade pode ser explorada por atacantes autenticados localmente para derrubar medidas de proteção como o Address Space Layout Randomization (ASLR), facilitando a execução de ataques mais sofisticados.
Kev Breen, diretor de pesquisa em ameaças cibernéticas da Immersive, explica à imprensa que falhas desse tipo são usadas para desativar a ASLR — um mecanismo fundamental de segurança do sistema operacional projetado para impedir exploits que manipulam a memória.
Ao revelar onde o código está localizado na memória, essa vulnerabilidade pode ser combinada com outras para transformar ataques complexos em operações práticas e repetíveis.
A agência americana CISA (Cybersecurity and Infrastructure Security Agency) incluiu a vulnerabilidade em seu catálogo Known Exploited Vulnerabilities (KEV) e determinou o prazo até 3 de fevereiro de 2026 para que as agências federais civis concluam a aplicação dos patches.
Outra falha relevante é a
CVE-2026-21265
(CVSS 6.4), que permite burlar o Secure Boot Certificate Expiration.
Essa brecha compromete um mecanismo essencial para garantir que o firmware carregado durante o boot seja confiável, impedindo a execução de malware nesse estágio crítico.
Em novembro de 2025, a Microsoft anunciou a expiração programada de três certificados Secure Boot emitidos em 2011, com validade até meados de 2026.
A empresa orienta os usuários a atualizarem para os certificados lançados em 2023 para evitar problemas na inicialização segura dos dispositivos:
- Microsoft Corporation KEK CA 2011 (validade até junho de 2026) será substituído pelo Microsoft Corporation KEK 2K CA 2023, usado para assinaturas de atualizações em DB e DBX.
- Microsoft Windows Production PCA 2011 (até outubro de 2026) será substituído pelo Windows UEFI CA 2023, responsável pela assinatura do boot loader do Windows.
- Microsoft UEFI CA 2011 (até junho de 2026) será substituído pelo Microsoft UEFI CA 2023 e Microsoft Option ROM UEFI CA 2023, para assinatura de boot loaders e option ROMs de terceiros.
A Microsoft alerta que, se a atualização não for aplicada a tempo, alguns dispositivos pessoais e corporativos poderão enfrentar dificuldades para inicializar de forma segura.
Além disso, esta atualização remove os drivers Agere Soft Modem "agrsm64.sys" e "agrsm.sys", originalmente inclusos no sistema operacional, que apresentam uma vulnerabilidade local de elevação de privilégios descoberta há dois anos (
CVE-2023-31096
, CVSS 7.8).
A remoção desses drivers mitiga o risco de ataques que poderiam garantir permissões SYSTEM ao invasor.
Em outubro de 2025, outro driver Agere Modem chamado "ltmdm64.sys" foi removido após relatos de exploração ativa de uma falha similar (
CVE-2025-24990
, CVSS 7.8).
Também merece atenção a
CVE-2026-20876
(CVSS 6.7), falha classificada como Critical, que impacta o Windows Virtualization-Based Security (VBS) Enclave.
Essa vulnerabilidade permite a um atacante obter privilégios Virtual Trust Level 2 (VTL2), comprometendo os controles de segurança, possibilitando persistência profunda e evasão de detecção.
Mike Walters, presidente e cofundador da Action1, aponta que, embora a exploração requeira altos privilégios, o dano potencial é grave por afetar uma das camadas de execução mais confiáveis do sistema.
"Essa falha quebra a barreira de segurança criada para proteger o próprio Windows, tornando possível que invasores com acesso elevado inicial comprometam defesas avançadas.
A aplicação rápida do patch é crucial para manter a confiança nas proteções do sistema", destaca Walters.
Além da Microsoft, diversos outros fabricantes divulgaram atualizações de segurança no início do ano para corrigir vulnerabilidades em seus produtos.
Entre eles, destacam-se ABB, Adobe, Amazon Web Services, AMD, Arm, ASUS, Broadcom, Cisco, Dell, Elastic, Fortinet, Google Android e Pixel, HP, IBM, Lenovo, Mozilla Firefox, NVIDIA, Qualcomm, Samsung, SAP, Sophos, Trend Micro, Veeam, entre muitos outros.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...