Resumo
Na rodada de segurança de fevereiro de 2026, a Microsoft publicou correções para dezenas de vulnerabilidades em Windows, Office, Azure e ferramentas de desenvolvimento. O pacote lista múltiplos zero‑days e duas falhas classificadas como críticas em componentes de ACI (Azure Compute Gallery).
O que foi divulgado
O aviso consolidado, reportado por veículos que acompanharam a publicação da Microsoft, descreve 54 vulnerabilidades corrigidas, entre as quais seis zero‑days que haviam sido divulgados publicamente e/ou observados em exploração antes da liberação das correções. Tipologias cobertas incluem execução remota de código (RCE), elevação de privilégio (EoP), divulgação de informação, spoofing, negação de serviço e bypass de segurança.
Zero‑days e falhas críticas
Entre os zero‑days listados estão problemas em Office Word, MSHTML, Windows Shell, Remote Desktop Services e Desktop Window Manager — vulnerabilidades que, conforme os relatórios, podem ser encadeadas para ampliar o impacto. A publicação destaca duas falhas críticas em Azure Compute Gallery (ACI Confidential Containers): CVE‑2026‑23655 (divulgação de informação) e CVE‑2026‑21522 (elevação de privilégio).
Produtos e vetores de risco
- Endpoints e SO: múltiplas EoP e bypass em HTTP.sys, Hyper‑V, Windows Storage e componentes do Shell.
- Office e colaboração: spoofing em Outlook, bypass em Word e divulgações/elevação em Excel.
- Ferramentas de desenvolvimento: RCEs e bypasses em GitHub Copilot, Visual Studio Code e extensões/SDKs (incl. Azure SDK for Python).
- Cloud: falhas em Azure HDInsight, IoT Explorer SDK e componentes de computação confidencial (ACI).
Impacto e recomendações
Os relatos enfatizam que exploração de RCEs e EoPs pode levar a comprometimento total de endpoints ou cargas em nuvem, roubo de dados e movimento lateral. A orientação prática repete-se nas fontes: priorizar a aplicação das correções críticas e dos zero‑days, preferencialmente via Windows Update/WSUS, testar em ambientes de homologação e manter monitoramento atento do MSRC para atualizações.
O que falta e observações
As matérias citadas resumem os CVEs publicados, mas não trazem indicadores de comprometimento (IoCs) amplamente distribuídos nem relatórios públicos de exploração massiva além das designações de "publicly disclosed" ou "exploited prior to release" para alguns itens. Organizações devem assumir risco elevado até confirmar que ambientes estão atualizados.
Conclusão
Esta é a única consolidação de CVEs que publicamos no lote: a magnitude (54 falhas, 6 zero‑days, duas críticas em ACI) justifica atenção executiva. Times de segurança devem priorizar inventário de ativos afetados (especialmente workloads confidenciais em Azure, servidores RDP e ferramentas de desenvolvimento com Copilot/VS Code) e aplicar patches com urgência.