Microsoft corrige 59 falhas e seis zero-days explorados ativamente no Patch Tuesday de fevereiro

A Microsoft liberou o Patch Tuesday de fevereiro com correções para 59 vulnerabilidades em diferentes componentes do ecossistema Windows e produtos relacionados. O ponto crítico do ciclo é que seis CVEs foram marcados como explorados ativamente, o que muda a prioridade de aplicação dos updates em ambientes corporativos.

O que aconteceu (e por que importa)

Além do volume total de correções (5 críticas e 52 importantes), o pacote trata de falhas que podem ser usadas para burlar proteções, elevar privilégios e causar indisponibilidade. Em cenários reais, a combinação “acesso inicial + elevação para SYSTEM” costuma ser o caminho para desativar EDR, implantar malware e ampliar movimentação lateral.

Zero-days explorados ativamente (destaques)

• CVE-2026-21510 (Windows Shell) – bypass de recurso de segurança via rede.
• CVE-2026-21513 (MSHTML) – bypass de prompts/controles ao interagir com arquivos maliciosos.
• CVE-2026-21514 (Word) – bypass baseado em decisões com inputs não confiáveis (vetor local).
• CVE-2026-21519 (Desktop Window Manager) – elevação de privilégios por type confusion (local).
• CVE-2026-21525 (RASMan) – negação de serviço por null pointer dereference (local).
• CVE-2026-21533 (Remote Desktop) – gerenciamento incorreto de privilégios levando a elevação (local).

Impacto e contexto operacional

Segundo a própria Microsoft, os seis CVEs já aparecem como explorados. A CISA também adicionou as falhas ao catálogo Known Exploited Vulnerabilities (KEV), exigindo mitigação por agências federais dos EUA até 03/03/2026 — um indicador forte de risco e pressão de exploração.

No mesmo período, a Microsoft também começou a distribuir novos certificados de Secure Boot (substituindo os de 2011, que expiram no fim de junho). Dispositivos que não receberem a atualização podem entrar em “estado degradado” de segurança, com limitação para futuras proteções no boot.

O que observar (detecção)

• Interações recentes de usuários com arquivos HTML/Office suspeitos (principalmente em estações com histórico de downloads/attachments).
• Sinais de elevação de privilégios (contas comuns executando ações típicas de SYSTEM, mudanças em serviços, drivers e políticas).
• Telemetria de RDP e eventos incomuns associados a sessões locais/remotas, especialmente após incidentes de acesso inicial.

Mitigação (prioridade prática)

1. Aplique os updates de fevereiro com prioridade em endpoints de alto risco (usuários expostos a e-mail/arquivos) e servidores críticos.
2. Endureça o manuseio de anexos: bloquear/alertar para HTML e arquivos Office com origem externa, e revisar políticas de macro/ASR onde aplicável.
3. Valide se a frota está recebendo as atualizações de Secure Boot via Windows Update para evitar degradação de segurança no segundo semestre.

Fonte: The Hacker News