Vol. 2 | N. 4 | Pp. 75–80 | 2026 | ISSN xxxx-xxxx
Microsoft Patch Tuesday de Abril 2026: 164 vulnerabilidades corrigidas
A Microsoft publicou hoje um novo pacote recorde de “Patch Tuesday” corrigindo 164 vulnerabilidades em diversos produtos.
Entre as falhas tratadas estão: duas zero-day, oito classificadas como críticas e 154 com severidade “Importante”, afetando componentes do sistema operacional, serviços de rede e aplicações da plataforma.
O boletim também inclui duas vulnerabilidades do tipo zero-day. Uma delas já possui exploração ativa observada em ambiente operacional, enquanto a outra foi divulgada publicamente, o que aumenta significativamente o risco de exploração no curto prazo.
Recomenda-se que equipes de segurança e administradores de sistemas avaliem e priorizem imediatamente a aplicação das atualizações, especialmente em ativos expostos à Internet ou em ambientes críticos.
Observação: No contexto dessas vulnerabilidades, RCE significa Remote Code Execution (Execução Remota de Código), ou seja, uma falha que permite que um invasor execute código arbitrário em um sistema remoto, muitas vezes sem autenticação ou com um nível mínimo de acesso.
Curiosidade:
Este “Patch Tuesday” de abril de 2026 não é o maior “recorde de patches” da Microsoft em um único mês. O recorde recente é o “Patch Tuesday” de outubro de 2025, que corrigiu cerca de 172 a 175 vulnerabilidades em um único ciclo, considerado a maior atualização mensal documentada em anos
A seguir fazemos um compilado das correções principais.
Cenário Geral Microsoft
-
Distribuição por tipo:
-
Elevação de privilégio: 93 (todas “important”).
-
Execução remota de código (RCE): 20, sendo 7 críticas e 13 “important”.
-
Negativa de serviço (DoS): 9, com 1 crítica e 8 “important”.
-
Divulgação de informação: 20, todas “important”.
-
Spoofing: 8, todas “important”.
-
Security feature bypass: 12, todas “important”.
-
Produtos impactados incluem: Windows Kernel, Hyper‑V, Graphics Component, Kerberos, BitLocker, Defender, AD, pilha TCP/IP, IKE, Remote Desktop, Office (Word, Excel, PowerPoint), SharePoint, .NET, SQL Server, Azure Logic Apps, Dynamics 365 on‑premises, PowerShell, Power Apps, Win32K, Storage Spaces, UPnP, WFP, csc.sys, tdx.sys, Shell, EFS, e possivelmente outros componentes.
Observação: Os Links oficiais com instruções do MSRC – Microsoft Security Response Center para tratar as vulnerabilidades citadas estão no final dessa publicação, na seção “Referências”.
Principais zero‑days corrigidos
-
CVE‑2026‑33825 – Microsoft Defender (Elevação de privilégio)
-
Falta de granularidade na ACL permite que um usuário autenticado eleve privilégios locais.
-
-
CVE‑2026‑32201 – Microsoft SharePoint Server (Spoofing)
-
Vulnerabilidade de validação de entrada que permite spoofing de rede sem autenticação.
-
CISA já incluiu este CVE no “Known Exploited Vulnerabilities Catalog” e recomendou correção até 28/04/2026.
-
Principais vulnerabilidades críticas (RCE e vetores de alto impacto)
Destaco 8 críticas, incluindo:
-
CVE‑2026‑32157 – Remote Desktop Client (RCE): Use‑after‑free que permite execução remota de código se um usuário autenticado se conectar a um servidor malicioso.
-
CVE‑2026‑33826 – Windows Active Directory (RCE): Falta de validação de entrada em AD permite RCE adjacente via RPC crafted para um host RPC.
-
CVE‑2026‑33827 – Windows TCP/IP (RCE): Race condition em TCP/IP pode permitir RCE em nó Windows com IPSec ativado via pacote IPv6 crafted.
-
CVE‑2026‑33824 – Windows IKE Extensions (RCE): Falha em IKEv2 permite envio de pacotes crafted para máquina Windows com IKEv2 habilitado, potencialmente resultando em RCE.
-
CVE‑2026‑23666 – .NET Framework (DoS): Race condition em .NET que permite negação de serviço para clientes de rede.
-
CVE‑2026‑32190 / CVE‑2026‑33114 / CVE‑2026‑33115 – Office / Word (RCE local): Vulnerabilidades de uso após‑liberação e de ponteiro em Office/Word que permitem RCE local a partir de documentos maliciosos.
Outros destaques técnicos
Diversos outros CVEs relevantes, em grande parte de elevação de privilégio ou bypass de segurança, por exemplo:
-
CVE‑2026‑26151 – Remote Desktop spoofing (spoofing de rede).
-
CVE‑2026‑27906 – Windows Hello (bypass de recurso de segurança local).
-
CVE‑2026‑27908 / 27921 – Windows TDI Translation Driver (tdx.sys) – use‑after‑free levando a SYSTEM.
-
CVE‑2026‑32093 – Windows Function Discovery Service (fdwsd.dll) – elevação de privilégio.
-
CVE‑2026‑32152 / 32154 – Desktop Window Manager – UaF levando a SYSTEM.
-
CVE‑2026‑0390 – Windows Boot Loader (bypass de boot‑security).
-
CVE‑2026‑32202 – Windows Shell spoofing.
-
CVE‑2026‑26169 – vazamento de memória do Kernel (info disclosure local).
-
CVE‑2026‑27913 – BitLocker (bypass de segurança local).
Esses exemplificam que a atualização de abril traz um conjunto pesado de vulnerabilidades de elevação de privilégio local, bypass de segurança, e spoofing, além dos RCEs críticos.
Referências
CVEs principais citados
| CVE | Descrição resumida (Microsoft) | Link oficial MSRC |
|---|---|---|
| CVE‑2026‑33825 | Microsoft Defender – Elevation of Privilege (zero‑day divulgado publicamente). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825 |
| CVE‑2026‑32201 | Microsoft SharePoint Server – Spoofing Vulnerability (zero‑day já explorado; lista CISA). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32201 |
| CVE‑2026‑32157 | Remote Desktop Client – Remote Code Execution Vulnerability (Critical, RCE em cliente RDP). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32157 |
| CVE‑2026‑33826 | Windows Active Directory – Remote Code Execution Vulnerability (RCE via RPC/AD). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33826 |
| CVE‑2026‑33827 | Windows TCP/IP – Remote Code Execution Vulnerability (race condition, wormable em IPv6+IPSec). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33827 |
| CVE‑2026‑33824 | Windows IKE Extensions – Remote Code Execution Vulnerability (double‑free em IKEv2, RCE remota). 31wedge+1 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33824 |
| CVE‑2026‑23666 | .NET Framework – Denial of Service Vulnerability (DoS em aplicações de rede, único CVE crítico neste bloco que não é RCE). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-23666 |
| CVE‑2026‑32190 | Microsoft Office – Remote Code Execution Vulnerability (RCE local em Office/Word via documento malicioso). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32190 |
| CVE‑2026‑33114 | Microsoft Word – Remote Code Execution Vulnerability (RCE local, documento malicioso, Word). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33114 |
| CVE‑2026‑33115 | Microsoft Word – Remote Code Execution Vulnerability (RCE local, Use‑after‑free em Word). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33115 |
Demais CVEs citados
| CVE | Descrição resumida (Microsoft) | Link oficial MSRC |
|---|---|---|
| CVE‑2026‑26151 | Remote Desktop spoofing. | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26151 |
| CVE‑2026‑27906 | Windows Hello – Security Feature Bypass. | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-27906 |
| CVE‑2026‑27908 | Windows TDI Translation Driver (tdx.sys) – Elevation of Privilege (Use‑after‑free). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-27908 |
| CVE‑2026‑27921 | Outra vulnerabilidade em tdx.sys (elevação de privilégio). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-27921 |
| CVE‑2026‑32093 | Windows Function Discovery Service (fdwsd.dll) – Elevation of Privilege. | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32093 |
| CVE‑2026‑32152 | Desktop Window Manager – Use‑after‑free (SYSTEM). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32152 |
| CVE‑2026‑32154 | Desktop Window Manager – outro UaF (SYSTEM). | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32154 |
| CVE‑2026‑0390 | Windows Boot Loader – Security Feature Bypass. | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-0390 |
| CVE‑2026‑32202 | Windows Shell – Spoofing Vulnerability. | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32202 |
| CVE‑2026‑26169 | Windows Kernel – Memory Leak / Information Disclosure local. | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26169 |
| CVE‑2026‑27913 | BitLocker – Security Feature Bypass. | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-27913 |
Apêndice: Tabela de priorização
Abaixo está uma sugestão de tabela de priorização de patching focada apenas nos CVEs da Microsoft que citamos, com três níveis aproximados de prioridade para ambiente corporativo típico (AD, RDP, e‑mail, endpoints, servidores internos).
Prioridade P1 – Patches críticos, devem serem feitos nas primeiras 24–72h
| Prioridade | CVE | Tipo de impacto / componente | Razoável priorizar em |
|---|---|---|---|
| P1 | CVE‑2026‑32201 | SharePoint Server – Spoofing (zero‑day explorado ativamente; listado CISA). | Servidores SharePoint internet/on‑prem, DMZ, front‑end web. |
| P1 | CVE‑2026‑33826 | Windows Active Directory – RCE (RCE via RPC em AD; wormable em rede interna). | Todos os Domain Controllers (FSMO, quorum, replicas). |
| P1 | CVE‑2026‑33827 | Windows TCP/IP – RCE (race condition em IPv6 + IPSec; potencialmente wormable). | Servidores e endpoints com IPSec ativo e IPv6 exposto. |
| P1 | CVE‑2026‑33824 | Windows IKE Extensions – RCE (double‑free em IKEv2, RCE remota sobre IPsec/VPN). | Servidores de Gateway/VPN, roteadores com IKEv2, DMZ. |
| P1 | CVE‑2026‑32157 | Remote Desktop Client – RCE (RCE se usuário autenticado conectar a servidor malicioso). | Todos os clientes RDP utilizados para acesso externo/serviços. |
| P1 | CVE‑2026‑33825 | Microsoft Defender – Elevation de Privilégio (zero‑day divulgado publicamente). | Estações de trabalho e servidores com Defender habilitado. |
| P1 | CVE‑2026‑32190 | Microsoft Office – RCE (RCE local em documentos Office/Word, 8.4 CVSS). | Todos os endpoints com Office (desktop, notebooks). |
| P1 | CVE‑2026‑33114 | Microsoft Word – RCE (RCE local, documento malicioso, 8.4 CVSS). | Todos os endpoints com Word. |
| P1 | CVE‑2026‑33115 | Microsoft Word – RCE (Use‑after‑free, 8.4 CVSS). | Todos os endpoints com Word. |
Prioridade P2 – Prioridade alta, mas não “zero‑day/web‑facing”, recomendado fazer entre faça 1 a 7 dias após P1
| Prioridade | CVE | Componente / tipo de vulnerabilidade | Recomendação de contexto de aplicação do patch |
|---|---|---|---|
| P2 | CVE‑2026‑23666 | .NET Framework – DoS (nós de rede podem cair sob ataque direcionado). | Servidores com aplicações .NET em front‑end (IIS, APIs, Intranet). |
| P2 | CVE‑2026‑32093 | Windows Function Discovery (fdwsd.dll) – Elevation de Privilégio. | Servidores de rede, serviços de descoberta de função. |
| P2 | CVE‑2026‑32152 | Desktop Window Manager – UaF (SYSTEM, POC local). | Estações de trabalho com acesso gráfico remoto (RDP, VDI, acesso remoto). |
| P2 | CVE‑2026‑32154 | Desktop Window Manager – outro UaF (SYSTEM, POC local). | Estações de trabalho com acesso gráfico remoto. |
| P2 | CVE‑2026‑27908 | tdx.sys (TDI Translation Driver) – Elevation de Privilégio (UaF, já há POC). | Estações de trabalho / servidores com drivers de rede/custom. |
| P2 | CVE‑2026‑27921 | tdx.sys – outra vulnerabilidade de EoP (UaF). | Idem anterior. |
| P2 | CVE‑2026‑26151 | Remote Desktop – Spoofing (spoofing de rede, POC conhecido). | Clientes/servidores RDP usados em redes menos confiáveis (VPNs, terminais de terceiros). |
Nota de transparência: Essa publicação NÃO utilizou de ferramentas de Inteligência Artificial Generativa para sua escrita, exceto para realização de pesquisa e validação de referências. Os demais o conteúdos foram elaborados e revisados pelo autor.
Tags: Alerta, CVE, Cybersecurity, Microsoft, Vulnerabilidades.
Categorias: Alerta, CVE, Falhas, Microsoft, Patches, Vulnerabilidade.