Foi divulgado que uma vulnerabilidade zero‑day no Windows Shell (CVE‑2026‑21510) está sendo explorada ativamente em ataques. A falha permite burlar mecanismos de proteção do sistema que avisam sobre conteúdo vindo da internet.
Descoberta e escopo
O problema foi documentado no Patch Tuesday de fevereiro de 2026 e descrito como uma "Security Feature Bypass" com pontuação CVSS de 8.8. A falha reside no tratamento de certos tipos de arquivo pelo Windows Shell e permite que arquivos especialmente forjados evitem verificações como SmartScreen e o "Mark of the Web".
Vetor e exploração
Exploradores podem criar atalhos ou links maliciosos que, quando clicados por um usuário, são tratados pelo Shell como confiáveis, permitindo execução de conteúdo não autorizado sem exibir os diálogos de aviso usuais. A publicação cita diretamente: "Microsoft has confirmed that this vulnerability allows attackers to run unauthorized content as if it were trusted."
Produtos afetados
A lista de produtos afetados inclui versões antigas e recentes do Windows e Windows Server, segundo os dados publicados:
- Windows 10 — 1607, 1809, 21H2, 22H2
- Windows 11 — 23H2, 24H2, 25H2, 26H1
- Windows Server — 2012, 2012 R2, 2016, 2019, 2022, 2025
Impacto e recomendações imediatas
Por ser uma exploração ativa (zero‑day) que contorna proteções interativas, o risco operacional é elevado — atacantes podem induzir usuários a executar conteúdo que o sistema trataria normalmente como não confiável. A matéria enfatiza que administradores e usuários devem aplicar as atualizações liberadas em 10 de fevereiro de 2026 sem demora.
Recomendações práticas:
- Aplicar imediatamente as atualizações via Windows Update (procure pelo Patch Tuesday de 10/02/2026).
- Reduzir a superfície de ataque limitando a abertura de arquivos e atalhos recebidos por fontes externas até confirmar a distribuição do patch em sua frota.
- Reforçar monitoramento de endpoints para execuções atípicas originadas de cliques em links/atalhos.
Atribuição e evidências públicas
A descoberta contou com pesquisadores do Microsoft Threat Intelligence Center (MSTIC) e do Google Threat Intelligence Group, segundo a matéria. Embora exista confirmação de exploração ativa, a publicação não detalha campanhas específicas, vetores de distribuição além do clique em links/atalhos ou indicadores recuperáveis do atacante.
Observação final
Trata‑se de uma vulnerabilidade que amplia o risco de engenharia social bem‑sucedida ao neutralizar avisos de segurança do sistema. Organizações devem priorizar a aplicação do patch e revisar procedimentos de resposta para eventos originados por aberturas de arquivos/atalhos recebidos do exterior.