A Microsoft corrigiu 84 falhas de segurança na atualização de março, incluindo duas vulnerabilidades zero-day que já haviam sido divulgadas publicamente.
- Leia também: Falhas críticas no n8n permite execução remota de código e roubo de credenciais
- Leia também: Atualizações de segurança corrige falhas críticas em softwares corporativos e dispositivos de rede
- Leia também: Meta remove 150 mil contas ligadas a centros de fraude no Sudeste Asiático
Na terça-feira, a empresa liberou um novo pacote de segurança que corrige 84 vulnerabilidades em diversos componentes do ecossistema Windows. Entre essas falhas, duas já eram de conhecimento público antes mesmo da disponibilização das correções, o que aumenta significativamente a urgência para que usuários e empresas apliquem as atualizações o quanto antes.
Visão geral das vulnerabilidades corrigidas
Do total de vulnerabilidades corrigidas, oito foram classificadas como críticas e 76 como importantes. Essas falhas abrangem diferentes categorias de risco dentro do ambiente Windows.
Entre elas estão:
- 46 vulnerabilidades de escalonamento de privilégios
- 18 vulnerabilidades de execução remota de código (RCE)
- 10 vulnerabilidades de divulgação de informações
- 4 falhas de falsificação de identidade
- 4 vulnerabilidades de negação de serviço
- 2 falhas de bypass de recursos de segurança
Além dessas correções, a Microsoft também resolveu 10 vulnerabilidades adicionais no navegador Edge baseado em Chromium, identificadas desde o lançamento da atualização de segurança de fevereiro de 2026.
Essas correções fazem parte do tradicional Patch Tuesday, ciclo mensal de atualizações de segurança da Microsoft.
Vulnerabilidades zero-day divulgadas publicamente
Entre as falhas corrigidas estão duas vulnerabilidades zero-day, ou seja, falhas que já haviam sido divulgadas publicamente antes da correção oficial.
As vulnerabilidades são:
CVE-2026-26127 (CVSS 7.5) – vulnerabilidade de negação de serviço no .NET
CVE-2026-21262 (CVSS 8.8) – vulnerabilidade de elevação de privilégios no SQL Server
Essas falhas são especialmente preocupantes porque podem ser exploradas por atacantes para interromper serviços ou obter privilégios elevados dentro de sistemas corporativos.
Quando uma vulnerabilidade é divulgada publicamente antes da correção, o risco aumenta consideravelmente. Isso acontece porque criminosos podem desenvolver rapidamente códigos de exploração (exploits) enquanto muitas organizações ainda não aplicaram as atualizações necessárias.
Falha crítica com pontuação CVSS 9.8
A vulnerabilidade com maior pontuação de gravidade neste mês é a CVE-2026-21536, que recebeu CVSS 9.8, considerada extremamente crítica.
Essa falha afeta o Programa de Preços de Dispositivos da Microsoft e pode permitir a execução remota de código (RCE).
Em termos práticos, vulnerabilidades desse tipo permitem que um atacante execute comandos maliciosos em um sistema afetado, potencialmente assumindo controle completo da máquina.
Segundo a Microsoft, a vulnerabilidade já foi totalmente mitigada, portanto nenhuma ação adicional é necessária por parte dos usuários.
A descoberta foi feita pela plataforma XBOW, um sistema de descoberta autônoma de vulnerabilidades que utiliza inteligência artificial para identificar falhas de segurança em softwares.
Escalonamento de privilégios domina as vulnerabilidades
De acordo com Satnam Narang, engenheiro de pesquisa sênior da Tenable, a maioria das falhas deste mês está relacionada ao escalonamento de privilégios.
Mais da metade das vulnerabilidades corrigidas na Patch Tuesday de março — cerca de 55% das CVEs — pertence a essa categoria.
Esse tipo de vulnerabilidade permite que um invasor aumente seu nível de acesso dentro de um sistema comprometido.
Entre os componentes afetados estão:
- Componentes gráficos do Windows
- Infraestrutura de Acessibilidade do Windows
- Kernel do Windows
- Servidor SMB
- Winlogon
Segundo Narang, falhas desse tipo são frequentemente utilizadas em ataques pós-comprometimento, quando um invasor já conseguiu algum nível inicial de acesso ao sistema.
Esse acesso inicial geralmente ocorre por meio de:
- engenharia social
- exploração de outras vulnerabilidades
- uso de credenciais comprometidas
Após obter esse primeiro acesso, o atacante utiliza vulnerabilidades de escalonamento de privilégios para ganhar controle total sobre o sistema ou sobre a rede corporativa.
Falha crítica no Winlogon permite acesso ao nível SYSTEM
Uma das vulnerabilidades mais relevantes desta atualização é a CVE-2026-25187 (CVSS 7.8), que afeta o Winlogon, um componente essencial do Windows responsável pelo gerenciamento das sessões de login do sistema.
A falha ocorre devido a uma resolução inadequada de links, o que permite que um invasor escale privilégios até o nível SYSTEM, o nível mais alto dentro do sistema operacional Windows.
O pesquisador James Forshaw, do Google Project Zero, foi responsável por relatar essa vulnerabilidade.
Segundo Jacob Ashdown, engenheiro de segurança da Immersive:
“A falha permite que um atacante autenticado localmente, mesmo com privilégios baixos, explore uma condição de seguimento de link no processo Winlogon e escale para privilégios de SISTEMA.”
Além disso, a vulnerabilidade apresenta baixa complexidade de exploração e não exige interação do usuário, o que a torna particularmente perigosa.
Na prática, isso significa que um invasor que já possua acesso inicial ao sistema pode explorar essa falha para obter controle total da máquina.
Falha no Azure MCP pode permitir roubo de token de identidade
Outra vulnerabilidade relevante é a CVE-2026-26118 (CVSS 8.8), que afeta o servidor do Model Context Protocol (MCP) do Azure.
Essa falha envolve um ataque de Server-Side Request Forgery (SSRF) e pode permitir que um invasor autorizado eleve seus privilégios dentro de uma rede corporativa.
Segundo a Microsoft, a exploração pode ocorrer quando um atacante envia entradas manipuladas para ferramentas do MCP Server que aceitam parâmetros fornecidos pelo usuário.
Nesse cenário, o invasor pode:
- Enviar uma URL maliciosa no lugar de um identificador legítimo de recurso do Azure
- Fazer com que o servidor MCP realize uma requisição externa para essa URL
- Capturar o token de identidade gerenciado incluído na requisição
Com esse token, o atacante pode acessar recursos do Azure associados à identidade do servidor MCP, permitindo a execução de ações não autorizadas dentro da infraestrutura em nuvem.
Falha no Excel pode permitir exfiltração de dados
Entre as vulnerabilidades corrigidas também está a CVE-2026-26144 (CVSS 7.5), que afeta o Microsoft Excel.
Essa falha envolve divulgação de informações causada por cross-site scripting (XSS) devido à neutralização inadequada de dados de entrada durante a geração de páginas da web.
Segundo a Microsoft, um atacante pode explorar essa vulnerabilidade para fazer com que o modo Agente do Copilot exfiltre dados automaticamente, em um ataque conhecido como zero-click, que não exige interação da vítima.
De acordo com Alex Vovk, CEO e cofundador da Action1:
“Vulnerabilidades de divulgação de informações são especialmente perigosas em ambientes corporativos, onde arquivos do Excel frequentemente contêm dados financeiros, propriedade intelectual ou registros operacionais.”
Ele alerta que invasores podem extrair silenciosamente informações sensíveis de sistemas internos, muitas vezes sem gerar alertas evidentes de segurança.
Além disso, ambientes corporativos que utilizam ferramentas de produtividade com inteligência artificial podem enfrentar riscos adicionais. Isso ocorre porque agentes automatizados podem transmitir dados confidenciais para fora da organização sem intenção direta do usuário.
Microsoft muda comportamento do Windows Autopatch
As atualizações também chegam em um momento em que a Microsoft anunciou mudanças importantes no Windows Autopatch.
A empresa passará a ativar atualizações de segurança em tempo real por padrão, permitindo que dispositivos sejam protegidos mais rapidamente contra novas vulnerabilidades.
Segundo a Microsoft:
“Aplicar correções de segurança sem esperar por uma reinicialização pode permitir que organizações atinjam 90% de conformidade em metade do tempo, mantendo o controle administrativo.”
A mudança será aplicada a:
- dispositivos gerenciados pelo Microsoft Intune
- sistemas que utilizam a API do Microsoft Graph
O novo comportamento entrará em vigor a partir da atualização de segurança do Windows de maio de 2026.
Fonte: The Hacker News —https://thehackernews.com/2026/03/microsoft-patches-84-flaws-in-march.html
