Na última terça-feira, a Microsoft lançou um pacote de atualizações de segurança que corrige 59 vulnerabilidades em seus produtos, incluindo seis falhas já exploradas ativamente por invasores.
Entre esses problemas, cinco são classificados como Critical, 52 como Important e dois como Moderate, conforme o nível de gravidade.
As correções abrangem desde falhas de elevação de privilégios (25 casos) até execução remota de código (12), spoofing (7), vazamento de informações (6), bypass de recursos de segurança (5), negação de serviço (3) e cross-site scripting (1).
Essas atualizações somam-se a outras três vulnerabilidades tratadas recentemente no navegador Edge, incluindo uma falha Moderate na versão para Android (
CVE-2026-0391
, com score CVSS 6,5) que permite spoofing em rede devido a uma má representação da interface do usuário.
Os seis pontos mais críticos desta rodada são as vulnerabilidades exploradas ativamente:
-
CVE-2026-21510
(CVSS 8,8): falha no mecanismo de proteção do Windows Shell que permite bypass de segurança via rede.
-
CVE-2026-21513
(CVSS 8,8): problema no MSHTML Framework que gera bypass de segurança em rede.
-
CVE-2026-21514
(CVSS 7,8): falha no Microsoft Office Word que possibilita bypass local por meio de inputs não confiáveis.
-
CVE-2026-21519
(CVSS 7,8): tipo de confusão (‘type confusion’) no Desktop Window Manager, permitindo elevação local de privilégios.
-
CVE-2026-21525
(CVSS 6,2): null pointer dereference no Remote Access Connection Manager que permite negação de serviço local.
-
CVE-2026-21533
(CVSS 7,8): má gestão de privilégios no Remote Desktop, possibilitando elevação local de privilégios.
As três primeiras vulnerabilidades foram reportadas pelas equipes de segurança da Microsoft e pelo Google Threat Intelligence Group (GTIG) e tornaram-se públicas no lançamento.
Ainda não há detalhes específicos sobre como essas falhas estão sendo exploradas nem se pertencem a uma mesma campanha ofensiva.
Especialistas explicam que a
CVE-2026-21513
, relacionada ao MSHTML Framework — componente usado para renderizar conteúdo HTML em diversos aplicativos — permite que invasores contornem confirmações de execução ao manipular arquivos maliciosos.
Isso pode fazer com que ações perigosas sejam disparadas com um único clique, sem alertas ao usuário.
Segundo Satnam Narang, pesquisador da Tenable, as vulnerabilidades
CVE-2026-21513
e
CVE-2026-21514
são muito semelhantes à
CVE-2026-21510
, diferenciando-se pelo tipo de arquivo explorado: HTML na primeira e documentos do Office na segunda.
No caso da
CVE-2026-21525
, trata-se de uma zero-day descoberta em dezembro de 2025 pela equipe do serviço 0patch, durante investigação de outra falha no mesmo componente.
As vulnerabilidades
CVE-2026-21519
e
CVE-2026-21533
são de elevação local de privilégios, ou seja, exigem que o atacante já tenha algum acesso prévio ao sistema.
De acordo com Kev Breen, da Immersive, uma vez dentro do host, o invasor pode usar essas falhas para ampliar privilégios ao nível SYSTEM, permitindo desativar medidas de segurança, instalar malware adicional ou até comprometer credenciais sensíveis, com risco de controle total do domínio.
Diante dessas ameaças, a agência americana CISA incluiu todas as seis vulnerabilidades no catálogo Known Exploited Vulnerabilities (KEV), estabelecendo o prazo de 3 de março de 2026 para que órgãos federais apliquem as correções.
Além disso, a Microsoft iniciará a atualização dos certificados Secure Boot emitidos originalmente em 2011, os quais expirarão em junho de 2026.
A troca será feita automaticamente via Windows Update, sem necessidade de ação do usuário.
Caso o dispositivo não receba os novos certificados antes do vencimento, continuará funcionando normalmente, mas com limitações de segurança que podem expor o sistema a futuras vulnerabilidades e gerar problemas de compatibilidade.
Paralelamente, a empresa está implementando novas proteções padrão no Windows por meio das iniciativas Windows Baseline Security Mode e User Transparency and Consent, dentro dos projetos Secure Future Initiative e Windows Resiliency Initiative.
A primeira garantirá que apenas aplicativos, serviços e drivers devidamente assinados possam ser executados, protegendo contra alterações indevidas.
Já a segunda trará prompts mais claros para o usuário, solicitando permissão quando apps tentarem acessar recursos sensíveis, como câmera, microfone ou arquivos, ou instalarem softwares inesperados, semelhante ao modelo de transparência do macOS.
Segundo Logan Iyer, engenheiro sênior da Microsoft, essas medidas reforçam a transparência e o controle para usuários e administradores de TI, facilitando a gestão de permissões e o monitoramento do comportamento de aplicativos e agentes de IA.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...