Microsoft corrige 77 vulnerabilidades no Patch Tuesday de março de 2026

Microsoft corrige 77 vulnerabilidades no Patch Tuesday de março de 2026

A Microsoft lançou hoje atualizações de segurança para corrigir pelo menos 77 vulnerabilidades em seus sistemas operacionais Windows e outros softwares. Diferentemente de fevereiro, quando foram identificadas cinco falhas zero-day, este mês não apresenta ameaças urgentes do mesmo tipo. No entanto, algumas correções merecem atenção imediata de organizações que utilizam Windows.

Principais destaques do Patch Tuesday

Dois dos bugs corrigidos haviam sido divulgados publicamente antes da atualização:

• CVE-2026-21262: Permite que um invasor eleve privilégios no SQL Server 2016 ou versões posteriores. Segundo Adam Barnett, da Rapid7,

  "Esta não é apenas mais uma vulnerabilidade de elevação de privilégios; o aviso indica que um invasor autorizado pode obter privilégios de sysadmin pela rede. Embora a pontuação CVSS v3 de 8,8 esteja abaixo do limiar de gravidade crítica, exigindo privilégios baixos, seria arriscado adiar a aplicação desse patch."

• CVE-2026-26127: Afeta aplicativos .NET e pode causar negação de serviço ao travar o sistema. Há potencial para outros tipos de ataques durante a reinicialização do serviço.

O Patch Tuesday também incluiu duas falhas críticas no Microsoft Office:

• CVE-2026-26113 e CVE-2026-26110: São vulnerabilidades de execução remota de código que podem ser ativadas ao visualizar uma mensagem maliciosa no Painel de Visualização.

Vulnerabilidades de elevação de privilégios merecem atenção

Satnam Narang, da Tenable, destacou que mais de metade (55%) das vulnerabilidades corrigidas este mês são de elevação de privilégios. Dentre elas, seis foram classificadas como "exploração provável", afetando componentes como:

• Windows Graphics Component
• Windows Accessibility Infrastructure
• Windows Kernel
• Windows SMB Server
• Winlogon

Algumas das vulnerabilidades mais relevantes incluem:

• CVE-2026-24291: Atribuições incorretas de permissões na infraestrutura de acessibilidade do Windows, permitindo acesso SYSTEM (CVSS 7.8).
• CVE-2026-24294: Autenticação inadequada no componente SMB principal (CVSS 7.8).
• CVE-2026-24289: Corrupção de memória e condição de corrida de alta gravidade (CVSS 7.8).
• CVE-2026-25187: Fraqueza no processo Winlogon, descoberta pelo Google Project Zero (CVSS 7.8).

Primeira vulnerabilidade descoberta por IA é corrigida

Ben McCarthy, engenheiro líder de cibersegurança da Immersive, chamou atenção para o CVE-2026-21536, uma falha crítica de execução remota de código no componente Microsoft Devices Pricing Program.

Embora a Microsoft já tenha resolvido a questão e não exija ação dos usuários do Windows, o caso é notável por ser uma das primeiras vulnerabilidades identificadas por um agente de IA e oficialmente reconhecida com um CVE atribuído ao sistema operacional Windows. A descoberta foi feita pelo XBOW, um agente autônomo de testes de penetração por IA, que recentemente ocupou o topo do ranking de recompensas por bugs da Hacker One.

"Embora a Microsoft já tenha corrigido e mitigado a vulnerabilidade, isso demonstra como agentes de IA podem identificar falhas críticas com pontuação 9,8 sem acesso ao código-fonte. Esse desenvolvimento sugere que a pesquisa de vulnerabilidades assistida por IA terá um papel crescente no cenário de segurança."

McCarthy afirmou que o CVE-2026-21536 representa um marco na identificação automatizada de vulnerabilidades complexas.