top of page

Microsoft corrige recorde de 622 falhas, incluindo dois zero-days explorados


A Microsoft lançou o maior Patch Tuesday de sua história, com correções para 622 vulnerabilidades únicas distribuídas entre Windows, SharePoint Server, Office, Microsoft Edge, SQL Server, Exchange Server, Defender, Azure e ferramentas de desenvolvimento. Duas falhas de elevação de privilégios já estavam sendo exploradas em ataques antes da publicação das atualizações.


Os dois zero-days explorados afetam componentes particularmente sensíveis de ambientes corporativos: servidores SharePoint instalados localmente e o Active Directory Federation Services, conhecido como AD FS. Embora nenhuma das vulnerabilidades tenha recebido as maiores pontuações CVSS do pacote, ambas podem comprometer sistemas ligados ao armazenamento de documentos, autenticação e emissão de tokens de acesso.


A falha que exige maior atenção é a CVE-2026-56164, uma vulnerabilidade de elevação de privilégios no Microsoft SharePoint Server. Segundo a Microsoft, um invasor não autenticado pode explorar o problema remotamente pela rede, sem possuir credenciais válidas e sem depender de qualquer interação do usuário.


A vulnerabilidade recebeu pontuação CVSS 5.3 e classificação de gravidade moderada, mas já foi observada em ataques reais. O caso demonstra por que a priorização de patches não deve considerar apenas a nota CVSS: uma falha aparentemente menos grave pode representar risco imediato quando afeta um serviço exposto à internet e existe exploração ativa.


A descoberta foi atribuída a profissionais de resposta a incidentes da Mandiant e à equipe FLARE, do Google. A Microsoft ainda não divulgou detalhes sobre os responsáveis pelos ataques, os alvos afetados ou a cadeia de exploração utilizada.


A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, também adicionou a CVE-2026-56164 ao catálogo de vulnerabilidades conhecidas e exploradas, o Known Exploited Vulnerabilities Catalog. A agência alertou que a falha permite acesso não autorizado a servidores SharePoint e recomendou que organizações apliquem as medidas de mitigação disponibilizadas pelo fabricante.


O problema ganha relevância adicional porque o suporte estendido ao SharePoint Server 2016 e ao SharePoint Server 2019 terminou em 14 de julho de 2026, na mesma data da atualização. Organizações que ainda utilizam essas versões precisam avaliar a migração para uma edição suportada, como o SharePoint Server Subscription Edition, além de aplicar todas as correções disponíveis antes de manter servidores legados em operação.


O segundo zero-day explorado é a CVE-2026-56155, uma falha de elevação de privilégios no Active Directory Federation Services. O AD FS fornece autenticação federada e emite tokens usados por aplicações e serviços para confiar na identidade de usuários dentro de uma organização.


Nesse caso, o invasor precisa estar autenticado e possuir acesso local ao servidor vulnerável. A falha decorre de controles de acesso inadequados e recebeu pontuação CVSS 7.8, com severidade importante. A Microsoft atribuiu sua identificação à equipe interna de resposta a incidentes DART, o que sugere que o problema também foi encontrado durante a investigação de ataques reais.


O impacto potencial ultrapassa o comprometimento de um único servidor. Como o AD FS participa da assinatura e validação de tokens de identidade, a obtenção de privilégios elevados nesse componente pode abrir caminho para acesso persistente a aplicações federadas, movimentação lateral e abuso de identidades corporativas.


A Microsoft não informou quais privilégios podem ser obtidos, como os invasores alcançaram inicialmente os servidores AD FS nem quais organizações foram afetadas.


Terceiro zero-day afeta o BitLocker


O pacote de julho também corrige uma terceira vulnerabilidade considerada zero-day, embora não haja evidências de exploração ativa. A CVE-2026-50661 permite contornar um recurso de segurança do BitLocker, tecnologia de criptografia de disco utilizada pelo Windows.


A falha foi classificada como importante, recebeu pontuação CVSS 6.1 e exige acesso físico ao dispositivo. Isso reduz sua urgência em comparação com as vulnerabilidades exploradas remotamente, mas o problema continua relevante em cenários envolvendo notebooks perdidos ou roubados, dispositivos corporativos compartilhados e equipamentos aos quais terceiros possam obter acesso direto.


Falha do SharePoint pode integrar cadeia de execução remota


Outra correção importante para administradores de SharePoint é a CVE-2026-55040, uma vulnerabilidade crítica de desvio de autenticação causada por problemas na validação de tokens JWT.


A Rapid7 demonstrou que um invasor remoto e não autenticado pode utilizar a falha para assumir a identidade de um usuário ou administrador do SharePoint. Para isso, o atacante precisa conhecer previamente informações sobre a conta escolhida, como o Security Identifier, ou SID, do Active Directory, ou o User Principal Name, normalmente semelhante a um endereço de e-mail corporativo.


Durante sua pesquisa para a competição Pwn2Own Berlin, a Rapid7 combinou a CVE-2026-55040 com uma segunda vulnerabilidade e conseguiu executar código remotamente em um servidor SharePoint sem autenticação. O componente de execução remota da cadeia ainda não recebeu correção e deverá ser tratado pela Microsoft no ciclo de atualizações de agosto de 2026.


A instalação do patch de julho corrige o desvio de autenticação e interrompe a cadeia demonstrada pelos pesquisadores, mesmo antes da correção da segunda vulnerabilidade. A CVE-2026-55040 recebeu pontuação CVSS 9.1 e classificação crítica. Até o momento, não há indicação pública de exploração em ataques reais.


Windows concentra 416 vulnerabilidades


Das 622 falhas únicas corrigidas, 416 estão relacionadas ao Windows. O Microsoft Office responde por 82 vulnerabilidades, enquanto o Edge possui 46 correções. Ferramentas de desenvolvimento, incluindo Visual Studio, Visual Studio Code e GitHub Copilot, somam 27 falhas.


O SharePoint Server recebeu correções para 17 vulnerabilidades. O Azure aparece com 11, seguido pelo SQL Server, com oito. Microsoft Defender e Exchange Server possuem cinco falhas cada, enquanto outros produtos completam as cinco vulnerabilidades restantes.


Algumas contagens publicadas podem apresentar números superiores porque as mesmas 82 vulnerabilidades do Office aparecem novamente em uma categoria separada destinada ao Office 2016. Considerando apenas CVEs únicos, o total registrado pelo Security Update Guide da Microsoft é de 622. A Zero Day Initiative contabilizou 621 falhas devido a diferenças no método de classificação.


A análise da Zero Day Initiative identificou 95 vulnerabilidades de execução remota de código no conjunto. Entre os problemas críticos estão falhas no VMSwitch, no serviço DHCP, no SharePoint, no SQL Server, no Microsoft Defender, no Windows Media Foundation e no Microsoft Office.


Entre os destaques está a CVE-2026-57092, uma vulnerabilidade de execução remota de código no VMSwitch com pontuação CVSS 9.9. O VMSwitch é o comutador virtual utilizado pelo Hyper-V para conectar máquinas virtuais a redes físicas e virtuais.


O serviço DHCP recebeu cinco correções de execução remota de código, incluindo a CVE-2026-56159, classificada como crítica e avaliada com CVSS 9.8. Servidores DHCP são responsáveis pela distribuição automática de endereços IP e configurações de rede, tornando falhas nesse componente particularmente relevantes para infraestruturas corporativas.


O SharePoint também recebeu correções para as vulnerabilidades críticas CVE-2026-50522 e CVE-2026-58644, ambas com pontuação CVSS 9.8 e potencial de execução remota de código.


No SQL Server, as CVEs CVE-2026-54117 e CVE-2026-54118 permitem execução remota de código e receberam pontuação 8.8. O Microsoft Defender corrige duas falhas críticas de execução de código, identificadas como CVE-2026-55011 e CVE-2026-55012.


Já a CVE-2026-55008 afeta o Outlook Web Access do Exchange Server. O problema foi classificado pela Microsoft como falsificação de conteúdo, mas envolve uma condição de cross-site scripting armazenado, ou XSS persistente, com pontuação CVSS 9.6.


Atualização pode interromper autenticação baseada em RC4


O Patch Tuesday de julho também conclui uma mudança gradual no tratamento do algoritmo RC4 pelo protocolo Kerberos. O RC4 é considerado um método legado e mais fraco de criptografia, mas ainda pode estar presente em contas de serviço, aplicações antigas e equipamentos que não oferecem suporte adequado ao AES.


As atualizações lançadas a partir de julho removem o suporte à chave de registro RC4DefaultDisablementPhase, que permitia aos administradores retornar temporariamente ao comportamento anterior. Com a entrada da fase definitiva de aplicação das novas regras, o controlador de domínio deixa de presumir suporte ao RC4 em contas sem configuração explícita.


Ambientes que ainda dependem do algoritmo podem enfrentar falhas de autenticação após a instalação dos patches. A Microsoft recomenda atualizar os controladores de domínio, monitorar os eventos de auditoria KDCSVC de 201 a 209, eliminar dependências do RC4 e validar a compatibilidade de serviços e dispositivos que utilizam Kerberos.


Contas de serviço que não possuem chaves AES podem precisar de redefinição de senha para que novas chaves sejam geradas. Sistemas configurados explicitamente para utilizar apenas RC4, porém, exigem ajustes adicionais ou atualização dos componentes legados.


Inteligência artificial aumenta volume de vulnerabilidades encontradas


Cinco dias antes do Patch Tuesday, a Microsoft já havia informado que seus clientes deveriam esperar um volume maior de correções de segurança. A empresa atribui parte desse crescimento ao uso de inteligência artificial para analisar código, identificar padrões vulneráveis e acelerar a validação de possíveis falhas.


Entre as tecnologias empregadas está o Microsoft Security Multi-Model Agentic Scanning Harness, ou MDASH. O sistema utiliza diferentes modelos de IA para examinar arquivos binários, comparar conclusões e encaminhar apenas descobertas com maior nível de confiança para as equipes de engenharia.


Segundo a Microsoft, o uso de IA reduz o intervalo entre a descoberta da vulnerabilidade e a disponibilização da correção. Ao mesmo tempo, a empresa reconhece que invasores também podem utilizar automação para comparar versões corrigidas e vulneráveis de um software, identificar o trecho alterado e desenvolver exploits em menos tempo.


A recomendação do fabricante é manter os sistemas atualizados, testar previamente as correções em ambientes representativos e priorizar ativos críticos ou expostos. Para organizações, o recorde de 622 vulnerabilidades torna inviável definir prioridades somente com base na classificação “crítica” ou na pontuação CVSS.


A exploração ativa, a exposição do serviço à internet, a importância do ativo, a disponibilidade de código de exploração e a possibilidade de interrupção operacional precisam integrar o processo de gestão de vulnerabilidades. Neste ciclo, servidores SharePoint locais e AD FS devem ocupar o topo da fila de atualização, seguidos pelos demais componentes críticos presentes em cada ambiente.

 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

(11) 93937-9007

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page