A Microsoft liberou nesta terça-feira (Patch Tuesday) um pacote de atualizações de segurança para corrigir 59 vulnerabilidades em seus produtos, incluindo seis falhas classificadas como zero-day que já vinham sendo exploradas ativamente.

Do total de vulnerabilidades corrigidas, cinco foram classificadas como Críticas, 52 como Importantes e duas como Moderadas. Entre as categorias mais recorrentes estão:

• – Elevação de privilégio (25)
• – Execução remota de código (12)
• – Falsificação (spoofing) (7)
• – Divulgação de informações (6)
• – Bypass de recursos de segurança (5)
• – Negação de serviço (3)
• – Cross-site scripting – XSS (1)

As atualizações também complementam três falhas já corrigidas no navegador Edge desde o Patch Tuesday de janeiro de 2026, incluindo uma vulnerabilidade moderada no Edge para Android (CVE-2026-0391, CVSS 6.5), que poderia permitir spoofing via rede por meio de uma representação enganosa de informações críticas na interface do usuário.

Seis zero-days exploradas ativamente

As principais preocupações deste mês envolvem seis vulnerabilidades já exploradas no mundo real:

• • CVE-2026-21510 (CVSS 8.8) – Falha no Windows Shell que permite a um atacante não autorizado contornar um recurso de segurança via rede.
• • CVE-2026-21513 (CVSS 8.8) – Falha no MSHTML Framework que possibilita o bypass de mecanismo de proteção por meio de interação com arquivos maliciosos.
• • CVE-2026-21514 (CVSS 7.8) – Uso de entradas não confiáveis em decisões de segurança no Microsoft Office Word, permitindo contornar proteções localmente.
• • CVE-2026-21519 (CVSS 7.8) – Vulnerabilidade de “type confusion” no Desktop Window Manager que possibilita elevação de privilégio local.
• • CVE-2026-21525 (CVSS 6.2) – Null pointer dereference no Windows Remote Access Connection Manager que pode resultar em negação de serviço local.
• • CVE-2026-21533 (CVSS 7.8) – Gerenciamento inadequado de privilégios no Windows Remote Desktop, permitindo elevação de privilégio local.

As três primeiras falhas foram identificadas por equipes internas da Microsoft e pelo Google Threat Intelligence Group (GTIG), sendo listadas como publicamente conhecidas no momento da divulgação. Até o momento, não há detalhes sobre como as vulnerabilidades estão sendo exploradas nem se fazem parte de uma mesma campanha.

Similaridades técnicas e riscos

Especialistas apontaram que as falhas CVE-2026-21513 e CVE-2026-21514 apresentam grande similaridade com a CVE-2026-21510. A principal diferença é o vetor de exploração:

• • A CVE-2026-21513 pode ser explorada por meio de arquivos HTML.
• • A CVE-2026-21514 exige um arquivo do Microsoft Office.

No caso da CVE-2026-21513, a falha afeta o MSHTML, componente central do Windows responsável por renderizar conteúdo HTML. Um arquivo especialmente criado pode contornar avisos de segurança do sistema e disparar ações perigosas com apenas um clique.

Já as vulnerabilidades CVE-2026-21519 e CVE-2026-21533 exigem que o invasor já tenha acesso prévio à máquina comprometida. Esse acesso pode ocorrer por meio de anexo malicioso, exploração de execução remota de código ou movimentação lateral dentro da rede.

Uma vez no sistema, o atacante pode escalar privilégios até o nível SYSTEM, o que permitiria desabilitar ferramentas de segurança, implantar novos malwares ou, em cenários mais graves, acessar credenciais sensíveis e comprometer todo o domínio.

A CrowdStrike, que reportou a CVE-2026-21533, informou que o exploit modifica chaves de configuração de serviço, substituindo-as por chaves controladas pelo invasor — o que pode permitir a criação de novos usuários no grupo de Administradores.

CISA inclui falhas no catálogo KEV

Diante da exploração ativa, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou as seis vulnerabilidades ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).

Com isso, agências do governo federal norte-americano (FCEB) devem aplicar as correções até 3 de março de 2026.

Atualização de certificados do Secure Boot

O pacote também coincide com a distribuição de novos certificados do Secure Boot, substituindo os certificados originais de 2011, que expiram no fim de junho de 2026.

Os novos certificados serão instalados automaticamente via Windows Update. Caso o dispositivo não receba a atualização antes da expiração:

• • O sistema continuará funcionando normalmente;
• • Softwares já instalados continuarão operando;
• • Contudo, o equipamento entrará em um estado degradado de segurança, com limitação para receber futuras proteções em nível de boot.

Com o tempo, isso pode resultar em maior exposição a vulnerabilidades recém-descobertas e até problemas de compatibilidade com novos sistemas operacionais, firmwares e softwares que dependem do Secure Boot.

Reforço nas proteções padrão do Windows

A Microsoft também anunciou duas iniciativas para fortalecer as proteções padrão do Windows:

Windows Baseline Security Mode

Permitirá que o sistema opere, por padrão, com salvaguardas de integridade em tempo de execução, garantindo que apenas aplicativos, serviços e drivers devidamente assinados possam ser executados.

User Transparency and Consent

Inspirado no modelo de Transparência, Consentimento e Controle (TCC) do macOS, o recurso introduz uma abordagem mais consistente para decisões de segurança. O Windows passará a exibir avisos claros quando aplicativos tentarem acessar recursos sensíveis — como arquivos, câmera e microfone — ou instalar softwares adicionais.

Segundo a Microsoft, aplicativos e agentes de IA também deverão atender a padrões mais elevados de transparência, oferecendo maior visibilidade tanto para usuários quanto para administradores de TI.

Atenção redobrada das equipes de segurança

A presença de seis zero-days exploradas ativamente reforça a importância de aplicar as atualizações o mais rápido possível, especialmente em ambientes corporativos.

Organizações devem priorizar:

• • Atualização imediata de sistemas Windows e Office;
• • Monitoramento de possíveis tentativas de exploração;
• • Revisão de privilégios administrativos;
• • Verificação da aplicação correta dos novos certificados de Secure Boot.

Em um cenário de ameaças cada vez mais sofisticadas, a gestão eficiente de patches continua sendo uma das principais camadas de defesa contra ataques cibernéticos.

Para saber mais, clique aqui.