🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft lançou na terça-feira patches para um conjunto de 84 novas vulnerabilidades de segurança que afetam vários componentes de software, incluindo dois que foram listados como conhecidos publicamente.
Destes, oito são classificados como Críticos e 76 são classificados como Importantes em termos de gravidade. Quarenta e seis das vulnerabilidades corrigidas estão relacionadas ao escalonamento de privilégios, seguidas por 18 de execução remota de código, 10 de divulgação de informações, quatro de falsificação, quatro de negação de serviço e duas falhas de desvio de recursos de segurança.
As correções são um acréscimo a 10 vulnerabilidades que foram abordadas em seu navegador Edge baseado em Chromium desde o lançamento da atualização Patch Tuesday de fevereiro de 2026.
Os dois dias zero divulgados publicamente são CVE-2026-26127 (pontuação CVSS: 7,5), uma vulnerabilidade de negação de serviço no .NET, e CVE-2026-21262 (pontuação CVSS: 8,8), uma vulnerabilidade de elevação de privilégio no SQL Server.
A vulnerabilidade com a pontuação CVSS mais alta na atualização deste mês é uma falha crítica de execução remota de código no Microsoft Devices Pricing Program. CVE-2026-21536 (pontuação CVSS: 9,8), segundo a Microsoft, foi totalmente mitigado e nenhuma ação é necessária por parte dos usuários. A plataforma autônoma de descoberta de vulnerabilidades alimentada por inteligência artificial (IA), XBOW, foi creditada por descobrir e relatar o problema.
“Este mês, mais da metade (55%) de todos os CVEs do Patch Tuesday eram bugs de escalonamento de privilégios e, desses, seis foram classificados como exploração mais provável no Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server e Winlogon”, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable.
“Sabemos que esses bugs são normalmente usados por agentes de ameaças como parte de atividades pós-comprometimento, uma vez que chegam aos sistemas por outros meios (engenharia social, exploração de outra vulnerabilidade).”
A falha de escalonamento de privilégios do Winlogon (CVE-2026-25187, pontuação CVSS: 7,8), em particular, aproveita a resolução inadequada de links para obter privilégios de SYSTEM. O pesquisador do Google Project Zero, James Forshaw, foi reconhecido por relatar a vulnerabilidade.
“A falha permite que um invasor autenticado localmente com poucos privilégios explore uma condição de seguimento de link no processo Winlogon e aumente para privilégios de SISTEMA”, disse Jacob Ashdown, engenheiro de segurança cibernética da Immersive. “A vulnerabilidade não requer interação do usuário e tem baixa complexidade de ataque, tornando-a um alvo direto quando um invasor ganha uma posição”.
Outra vulnerabilidade digna de nota é o CVE-2026-26118 (pontuação CVSS: 8,8), um bug de falsificação de solicitação do lado do servidor no servidor Azure Model Context Protocol (MCP) que pode permitir que um invasor autorizado eleve privilégios em uma rede.
“Um invasor pode explorar esse problema enviando informações especialmente criadas para uma ferramenta de servidor Azure Model Context Protocol (MCP) que aceita parâmetros fornecidos pelo usuário”, disse a Microsoft.
"Se o invasor puder interagir com o agente apoiado pelo MCP, ele poderá enviar uma URL maliciosa no lugar de um identificador de recurso normal do Azure. O servidor MCP envia então uma solicitação de saída para essa URL e, ao fazê-lo, pode incluir seu token de identidade gerenciado. Isso permite que o invasor capture esse token sem exigir acesso administrativo."
A exploração bem-sucedida da vulnerabilidade poderia permitir que um invasor obtivesse as permissões associadas à identidade gerenciada do servidor MCP. O invasor poderá então aproveitar esse comportamento para acessar ou executar ações em quaisquer recursos que a identidade gerenciada esteja autorizada a alcançar.
Entre os bugs de gravidade crítica resolvidos pela Microsoft está uma falha de divulgação de informações no Excel. Rastreado como CVE-2026-26144 (pontuação CVSS de 7,5), foi descrito como um caso de script entre sites que ocorre como resultado da neutralização inadequada de entrada durante a geração da página da web.
O fabricante do Windows disse que um invasor que explorasse a falha poderia fazer com que o modo Copilot Agent exfiltrasse dados como parte de um ataque de clique zero.
“As vulnerabilidades de divulgação de informações são especialmente perigosas em ambientes corporativos onde os arquivos Excel geralmente contêm dados financeiros, propriedade intelectual ou registros operacionais”, disse Alex Vovk, CEO e cofundador da Action1, em comunicado.
“Se explorados, os invasores poderão extrair silenciosamente informações confidenciais de sistemas internos sem acionar alertas óbvios. As organizações que usam recursos de produtividade assistidos por IA podem enfrentar maior exposição, pois agentes automatizados podem transmitir involuntariamente dados confidenciais para fora dos limites corporativos”.
Os patches chegam no momento em que a Microsoft afirma que está mudando o comportamento padrão do Windows Autopatch, permitindo atualizações de segurança de hotpatch para ajudar a proteger os dispositivos em um ritmo mais rápido.
"Essa mudança no comportamento padrão atinge todos os dispositivos qualificados no Microsoft Intune e aqueles que acessam o serviço por meio da API Microsoft Graph, começando com o
Destes, oito são classificados como Críticos e 76 são classificados como Importantes em termos de gravidade. Quarenta e seis das vulnerabilidades corrigidas estão relacionadas ao escalonamento de privilégios, seguidas por 18 de execução remota de código, 10 de divulgação de informações, quatro de falsificação, quatro de negação de serviço e duas falhas de desvio de recursos de segurança.
As correções são um acréscimo a 10 vulnerabilidades que foram abordadas em seu navegador Edge baseado em Chromium desde o lançamento da atualização Patch Tuesday de fevereiro de 2026.
Os dois dias zero divulgados publicamente são CVE-2026-26127 (pontuação CVSS: 7,5), uma vulnerabilidade de negação de serviço no .NET, e CVE-2026-21262 (pontuação CVSS: 8,8), uma vulnerabilidade de elevação de privilégio no SQL Server.
A vulnerabilidade com a pontuação CVSS mais alta na atualização deste mês é uma falha crítica de execução remota de código no Microsoft Devices Pricing Program. CVE-2026-21536 (pontuação CVSS: 9,8), segundo a Microsoft, foi totalmente mitigado e nenhuma ação é necessária por parte dos usuários. A plataforma autônoma de descoberta de vulnerabilidades alimentada por inteligência artificial (IA), XBOW, foi creditada por descobrir e relatar o problema.
“Este mês, mais da metade (55%) de todos os CVEs do Patch Tuesday eram bugs de escalonamento de privilégios e, desses, seis foram classificados como exploração mais provável no Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server e Winlogon”, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable.
“Sabemos que esses bugs são normalmente usados por agentes de ameaças como parte de atividades pós-comprometimento, uma vez que chegam aos sistemas por outros meios (engenharia social, exploração de outra vulnerabilidade).”
A falha de escalonamento de privilégios do Winlogon (CVE-2026-25187, pontuação CVSS: 7,8), em particular, aproveita a resolução inadequada de links para obter privilégios de SYSTEM. O pesquisador do Google Project Zero, James Forshaw, foi reconhecido por relatar a vulnerabilidade.
“A falha permite que um invasor autenticado localmente com poucos privilégios explore uma condição de seguimento de link no processo Winlogon e aumente para privilégios de SISTEMA”, disse Jacob Ashdown, engenheiro de segurança cibernética da Immersive. “A vulnerabilidade não requer interação do usuário e tem baixa complexidade de ataque, tornando-a um alvo direto quando um invasor ganha uma posição”.
Outra vulnerabilidade digna de nota é o CVE-2026-26118 (pontuação CVSS: 8,8), um bug de falsificação de solicitação do lado do servidor no servidor Azure Model Context Protocol (MCP) que pode permitir que um invasor autorizado eleve privilégios em uma rede.
“Um invasor pode explorar esse problema enviando informações especialmente criadas para uma ferramenta de servidor Azure Model Context Protocol (MCP) que aceita parâmetros fornecidos pelo usuário”, disse a Microsoft.
"Se o invasor puder interagir com o agente apoiado pelo MCP, ele poderá enviar uma URL maliciosa no lugar de um identificador de recurso normal do Azure. O servidor MCP envia então uma solicitação de saída para essa URL e, ao fazê-lo, pode incluir seu token de identidade gerenciado. Isso permite que o invasor capture esse token sem exigir acesso administrativo."
A exploração bem-sucedida da vulnerabilidade poderia permitir que um invasor obtivesse as permissões associadas à identidade gerenciada do servidor MCP. O invasor poderá então aproveitar esse comportamento para acessar ou executar ações em quaisquer recursos que a identidade gerenciada esteja autorizada a alcançar.
Entre os bugs de gravidade crítica resolvidos pela Microsoft está uma falha de divulgação de informações no Excel. Rastreado como CVE-2026-26144 (pontuação CVSS de 7,5), foi descrito como um caso de script entre sites que ocorre como resultado da neutralização inadequada de entrada durante a geração da página da web.
O fabricante do Windows disse que um invasor que explorasse a falha poderia fazer com que o modo Copilot Agent exfiltrasse dados como parte de um ataque de clique zero.
“As vulnerabilidades de divulgação de informações são especialmente perigosas em ambientes corporativos onde os arquivos Excel geralmente contêm dados financeiros, propriedade intelectual ou registros operacionais”, disse Alex Vovk, CEO e cofundador da Action1, em comunicado.
“Se explorados, os invasores poderão extrair silenciosamente informações confidenciais de sistemas internos sem acionar alertas óbvios. As organizações que usam recursos de produtividade assistidos por IA podem enfrentar maior exposição, pois agentes automatizados podem transmitir involuntariamente dados confidenciais para fora dos limites corporativos”.
Os patches chegam no momento em que a Microsoft afirma que está mudando o comportamento padrão do Windows Autopatch, permitindo atualizações de segurança de hotpatch para ajudar a proteger os dispositivos em um ritmo mais rápido.
"Essa mudança no comportamento padrão atinge todos os dispositivos qualificados no Microsoft Intune e aqueles que acessam o serviço por meio da API Microsoft Graph, começando com o
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #microsoft #corrige #84 #falhas #no #patch #de #março #de #terçafeira, #incluindo #dois #dias #zero #públicos
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário