Tag: Microsoft

Vol. 1 No. 20260127-1101 (2025)

Atualização de Emergência Microsoft

Adriano Cansian | adriano.cansian@unesp.br | 27/01/2026

Esse é um alerta crítico. A Microsoft lançou no início da noite de ontem (26 de janeiro de 2026) uma atualização de segurança de emergência, para corrigir a vulnerabilidade zero-day CVE-2026-21509, que permite contornar de proteções contra controles inseguros nos aplicativos Microsoft Office, fazendo que um ataque possa acontecer por intermédio de um documento ou arquivo malicioso, possivelmente sem interação do usuário.

A vulnerabilidade atinge aplicações Microsoft Office / 365 tanto no Windows como no macOS (veja comentário sobre o MacOS no final dessa postagem).

Temos notícias de que vulnerabilidade essa está sendo explorada ativamente por atacantes usando documentos maliciosos.

Essa falha afeta todas as versões, tais como Office 2016, 2019, LTSC 2021/2024 e Microsoft 365 Apps Enterprise, bem como Microsoft 365 Standalone ou Famility Edition, tanto no Windows quanto no macOS.

O que fazer, imediatamente

  1. Aplique as atualizações de segurança do Microsoft Office via Microsoft Update ou WSUS.​ 
  2. Reinicie as aplicações Microsoft 365 (muito importante), ou faça um reboot.
  3. Como mitigação temporária, configure o registro do Windows com a chave “Compatibility Flags” = 0x400 em HKEY_CURRENT_USER\Software\Microsoft\Office[version]\Common para reforçar as proteções OLE.
  4. Monitore phishing com anexos Office, dado o uso em campanhas direcionadas.

Nota importante: reinicie a aplicação

Não há um “número de versão/build” específico a partir do qual se esteja seguro, pois a correção é aplicada via service-side change (mudança da regra de proteção COM/OLE nos servidores Microsoft). Assim, Office 2021 e posteriores, que estejam atualizados, ficam protegidos com a versão mais recente que você tenha testado como atualizada em 26/01/2026, e após reinício completo dos aplicativos, sem necessidade de novo patch de instalação ou alteração no número da versão local. Ou seja, se sua versão já estiver atualizada, pode ser que você não veja uma mudança no número de versão.

Severidade CVSS E EPSS

A pontuação CVSS de severidade dessa vulnerabilidade é 7.8 (alta severidade). No momento de escrita desse alerta (27/01/2026 9h43m BRT), ela ainda não possui um score EPSS (Exploit Prediction Scoring System) disponível nos dados públicos recentes, pois foi divulgada há apenas um dia (26 de janeiro de 2026). O EPSS é atualizado diariamente pela FIRST.org com base em dados de exploração real. Como ela está sendo explorada ativamente e listada no catálogo KEV da CISA, espera-se um score EPSS elevado. Verifique em https://www.first.org/epss/search?cve=CVE-2026-21509 para o valor mais atual.

Detalhamento

As proteções contra controles COM/OLE inseguros no Microsoft Office são mecanismos de segurança implementados para bloquear a execução automática de objetos “COM” (Component Object Model) e “OLE” (Object Linking and Embedding) potencialmente maliciosos.

Objetos COM/OLE perigosos são componentes ActiveX ou objetos vinculados, embutidos, anexados ou inseridos em documentos do Microsoft Office (como ícones, gráficos ou mini-aplicativos de outros programas) que podem conter código malicioso.

Eles podem explorar a confiança automática do Office para executar scripts ou payloads sem interação segura do usuário, permitindo roubo de dados, instalação de malware ou controle remoto do sistema, como observado em ataques por meio de macros VBA, arquivos HTA ou streams OLE ofuscados em documentos Word ou Excel.

A Microsoft introduziu mecanismos de mitigação, incluindo kill bits, para reduzir esses riscos, especialmente em cenários de phishing com anexos maliciosos. Em segurança cibernética, chamamos essas proteções de “kill bits“. Esses kill bits são flags de segurança no Registro do Windows que desabilitam a criação ou execução de controles ActiveX específicos no Microsoft Office. A vulnerabilidade zero-day CVE-2026-21509 no Microsoft Office explora uma falha relacionada a essa proteção, permitindo contornar a restrição imposta pelos kill bits.

Apple / macOS

A CVE-2026-21509 afeta sim o Microsoft 365 no macOS, especificamente as Microsoft 365 Apps for Enterprise, Family e Standalone (incluindo Word, Excel, PowerPoint, Outlook), pois as mitigações OLE/COM são aplicadas no cliente Office, não dependentes do Sistema Operacional.

A Microsoft confirma que para Office 2021 e posteriores (incluindo M365), a proteção é via service-side change, requerendo reinício dos apps no macOS após propagação do serviço, similar ao Windows. Verifique atualizações no Microsoft AutoUpdate no macOS e reinicie os apps para ativar a correção emergencial de 26/01/2026.

Apesar da correção ter saído ontem, 26/1/2026, no caso do macOS a versão NÃO vulnerável é a partir de, e incluindo, a Version 16.105.1, de 20/01/2026. Em outras palavras, a instalação em si não muda de número de versão via patch tradicional; o ambiente passa a ficar protegido quando o tenant já recebeu a atualização no serviço e o usuário reinicia Word/Excel/PowerPoint/Outlook, momento em que as novas mitigações OLE/COM entram em vigor.

Caso queira verificar e forçar uma atualização no macOS, os comandos via terminal são os seguintes:

cd "/Library/Application Support/Microsoft/MAU2.0/Microsoft AutoUpdate.app/Contents/MacOS"
./msupdate --list  # Lista atualizações disponíveis
./msupdate --install  # Instala todas

Referências

[1] NVD (NIST)https://nvd.nist.gov/vuln/detail/CVE-2026-21509

[2] Microsoft MSRChttps://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509

[3] Microsoft – Configurações de segurança para objetos COM no Office.

[4] Microsoft Learn – Como controlar o bloqueio de componentes OLE/COM na Assinatura do Microsoft 365

Vol. 1 No. 20250717-774 (2025)

Os perigos de utilizar hotspot não autorizados no ambiente corporativo 

João Paulo Gonsales | jgonsales@cylo.com.br | 17/07/2025

Frequentemente analisamos um tipo de alerta preocupante : colaboradores dentro do ambiente corporativo compartilhando a internet móvel não autorizado com um dispositivo empresarial, criando com os seus dispositivos hotspots móveis e não autorizados pela organização. Embora possa parecer uma solução inofensiva ou um “atalho” para a conectividade, esse comportamento abre as portas para uma série de riscos graves que podem comprometer toda a segurança da sua organização.

Quando um hotspot móvel não autorizado é ativado, ele faz um bypass em diversas camadas de segurança da organização, é como se abríssemos uma “porta” não autorizada, favorecendo ameaças como ataques do tipo man-in-the-middle, risco para vazamento de dados ou outras ameaças, como um vírus, malware e até um Ransoware no ambiente.

Sobre os alertas analisados, notamos que durante a ação de compartilhar da conexão, criando um hotspot, o dispositivo conectado na rede recebe a faixa de IP 192.168.137.x, e por ser uma faixa de endereço privada e desconhecida dentro do ambiente , que a princípio gerou algumas dificuldades durante a analise, mas com o apoio da documentação da Microsoft e outros fatores presentes no log, verificamos que este endereço é um range padrão, atribuído pelo Windows e utilizado pelo serviço Compartilhamento de Conexão com a Internet (ICS).  

Conforme definido no learn da Microsoft, o serviço de ICS seria o driver atras de Wi-Fi pessoal que, por padrão, o ICS configura o seu computador (o host do hotspot) com o endereço IP 192.168.137.1 e após atribuir este IP, o serviço age como um servidor DHCP (Dynamic Host Configuration Protocol), atribuindo endereços IP aos dispositivos que se conectam ao hotspot, começando geralmente do 192.168.137.x.

Como mencionado acima, esta faixa de IP é de uma rede privada, designada para uso interno, o que significa que os endereços não são roteáveis diretamente na internet e utilizando a máscara padrão com o endereço 255.255.255.0, disponibilizando um range de 254 endereços IP para dispositivos conectados, tirando endereços de gateway e broadcast. 

Esta faixa de endereço pode ser alterado nas configurações do sistema, mas até o momento deste texto, os alertas analisados continham a faixa “padrão”, com o endereço IP 192.168.137.x. 

Por que esta faixa de IP específica? 

 A escolha da faixa 192.168.137.x foi uma convenção estabelecida pela Microsoft para o funcionamento do ICS, ela evita conflitos com outras redes já documentadas e utilizadas em ambientes domésticos ou corporativos (como as populares 192.168.0.x ou 192.168.1.x), garantindo que o seu hotspot possa operar sem problemas, independentemente da rede à qual seu computador principal está conectado. 

 Conexões rede origem e destino resolvendo DNS pelo 192.168.137.x 

Este tipo de ação no ambiente corporativo se torna muito preocupante, onde no cenário atual de flexibilidade no trabalho, onde o home office e os inúmeros dispositivos moveis pessoais no ambiente , gera preocupações de controle para estes dispositivos que, por um lado, a sua utilização pode ser “desculpa” para aumentar a produtividade, mas por outro lado, o mesmo pode ser utilizado para tentar quebrar os controles de segurança de rede dentro das empresas, e com essa pratica, as vezes inocente por parte de quem está utilizando, compromete os controles de segurança da informação e eleva os riscos significativos para a infraestrutura da empresa. 

Para mitigar e melhorar os controles para estes dispositivos, podemos adotar praticas que vão além do monitoramento, como a definição de políticas claras de PSI, implantando a sua conscientização, treinamento para os colaboradores e adoção de ferramentas de MDM (Gerenciamento de Dispositivos Móveis), onde com este recurso podemos aplicar políticas de segurança para os dispositivos moveis, monitorar e controlar o uso de dispositivos corporativos, incluindo a capacidade de criar hotspots.

 Referências :