Em um alívio bem-vindo para os administradores de sistemas, a Microsoft lançou ontem atualizações de segurança para apenas 79 vulnerabilidades no Patch Tuesday deste mês, incluindo dois dias zero divulgados publicamente.
A Microsoft categoriza vulnerabilidades de dia zero como falhas que foram exploradas ou divulgadas sem um patch disponível.
A seleção do Patch Tuesday de março incluiu CVE-2026-21262: um bug de elevação de privilégio (EoP) do SQL Server com uma pontuação CVSS de 8,8. Isso está um pouco abaixo da gravidade “crítica” porque são necessários privilégios de baixo nível, disse o principal engenheiro de software da Rapid7, Adam Barnett.
“A Microsoft está ciente da divulgação pública, portanto, embora avalie a probabilidade de exploração como menos provável, seria um defensor corajoso encolher os ombros e adiar as correções para este caso”, acrescentou.
“A maioria dos administradores e equipes de segurança do SQL Server concluíram há muitos anos que expor o SQL Server diretamente à Internet não era uma boa ideia. Por outro lado, mecanismos de pesquisa populares para dispositivos conectados à Internet descrevem dezenas de milhares de instâncias do SQL Server, e nem todas podem ser honeypots.”
Leia mais no Patch Tuesday: Microsoft corrige seis vulnerabilidades de dia zero no Patch Tuesday de fevereiro.
A segunda vulnerabilidade de dia zero deste mês é a CVE-2026-26127, uma falha de negação de serviço no .NET.
Barnett disse que a exploração na natureza pode ser mais séria do que parece.
“Se um encaminhador de log ou agente de segurança for afetado, mesmo que por um breve período de tempo, um invasor poderá realizar um ataque naquele momento, na esperança de evitar a detecção sob a cobertura desta escuridão artificial”, afirmou.
“Mesmo que um invasor pouco qualificado simplesmente cause tempo de inatividade, em alguns contextos isso pode ser suficiente para causar uma violação do SLA ou perda de receita, ou pelo menos fazer com que um defensor com olhos turvos seja avisado no meio da noite.”
EoP ocupa o centro do palco
No geral, existem apenas três vulnerabilidades com classificação crítica neste mês, duas das quais são execução remota de código (RCE) e uma falha de divulgação de informações. No entanto, a grande maioria dos CVEs são vulnerabilidades EoP.
Ben McCarthy, engenheiro-chefe de segurança cibernética da Immersive, sinalizou o seguinte:
- CVE-2026-23668, um bug EoP que afeta o componente gráfico do Windows. A exploração não requer interação do usuário e pode acontecer “inteiramente em segundo plano”
- CVE-2026-24294, uma vulnerabilidade EoP no Windows SMB Server, que é um alvo popular porque quase sempre está habilitado e ativo. Poderia fornecer “um caminho confiável e direto para privilégios de sistema”, disse McCarthy
- CVE-2026-24289, uma falha EoP no Kernel do Windows, que pode ser usada em ataques que levam à execução de código que “ignora todos os limites de segurança padrão no sistema operacional”
Deseja saber mais sobre Segurança Clique Aqui!