Microsoft corrige seis vulnerabilidades zero-day exploradas ativamente no Patch Tuesday

A Microsoft disponibilizou as atualizações de segurança de fevereiro de 2026, corrigindo aproximadamente 60 vulnerabilidades nos seus produtos, entre as quais seis vulnerabilidades zero-day que estavam a ser exploradas ativamente no momento da divulgação.

Entre as falhas zero-day corrigidas encontra-se a CVE-2026-21510, que permite contornar o Windows SmartScreen e os avisos de segurança do Windows Shell ao convencer a vítima a abrir um link ou ficheiro malicioso. Já a CVE-2026-21514 possibilita o bypass das mitigações OLE no Microsoft 365 e Office através da abertura de um documento manipulado. A CVE-2026-21513, por sua vez, afeta o Internet Explorer e pode permitir a execução de código após a abertura de ficheiros HTML ou LNK preparados para o efeito.

No conjunto das vulnerabilidades exploradas está também a CVE-2026-21519, uma falha no Windows Desktop Window Manager que pode ser utilizada localmente para elevação de privilégios. A CVE-2026-21533 afeta os Windows Remote Desktop Services e permite escalar privilégios até ao nível de sistema. Por fim, a CVE-2026-21525 impacta o Windows Remote Access Connection Manager, podendo ser explorada para provocar negação de serviço local.

Até ao momento, não foram divulgados detalhes públicos sobre as campanhas que exploraram estas falhas. No entanto, a atribuição da descoberta de algumas delas sugere um contexto de ameaça sofisticado. A Microsoft creditou o Google Threat Intelligence Group (GTIG), as suas próprias equipas de segurança e um investigador anónimo pela identificação das CVE-2026-21510 e CVE-2026-21514, enquanto a CVE-2026-21513 foi descoberta pela Microsoft em conjunto com o GTIG. Estas três vulnerabilidades estão igualmente sinalizadas como “publicamente divulgadas” nos avisos de segurança.

Este padrão pode indicar que tenham sido exploradas no âmbito das mesmas campanhas ou por atores com perfis semelhantes. O GTIG tem acompanhado operações atribuídas a fornecedores comerciais de spyware, grupos APT patrocinados por Estados e cibercriminosos com motivações financeiras, cenários onde o recurso a zero-day é frequente.

A vulnerabilidade CVE-2026-21533, relacionada com os Remote Desktop Services, foi descoberta pela CrowdStrike. Segundo Adam Meyers, Head of Counter Adversary Operations da empresa, o exploit associado “modifica uma chave de configuração de serviço, substituindo-a por uma chave controlada pelo atacante, o que pode permitir a criação de um novo utilizador no grupo de Administradores”. Embora não exista ainda atribuição a um grupo específico, Meyers alerta que a disponibilização do exploit pode acelerar tentativas de uso ou venda da vulnerabilidade no curto prazo.

Já a CVE-2026-21525 foi identificada pela Acros Security. Mitja Kolsek, CEO da empresa, explicou que o exploit foi encontrado em dezembro de 2025 num repositório público de malware. “Na altura tratava-se de um zero-day, pelo que desenvolvemos um patch e reportámos o problema à Microsoft. Não temos confirmação de exploração ativa, mas a qualidade técnica do exploit sugeria trabalho profissional”, afirmou.

Além do Windows e do Office, as atualizações de fevereiro incluem correções em Azure, Windows Defender, Exchange Server, .NET, GitHub Copilot, Edge e Power BI.