Microsoft corrige 622 falhas, incluindo duas zero-day exploradas ativamente
Aprofundamento CEVIU
Aprofundamento
A Microsoft lançou o maior Patch Tuesday da história: 622 vulnerabilidades corrigidas em julho de 2026, mais que o triplo do recorde anterior (198 em junho). O volume não é acidental: a empresa confirmou que sua nova ferramenta de varredura impulsionada por IA, a 'multi-model agentic scanning harness' (MDASH), está gerando descobertas em escala sem precedentes. Isso muda o jogo para equipes de segurança: não se trata mais de esperar por um ou dois zero-days por mês, mas de lidar com dezenas de falhas críticas em cada ciclo, e com três zero-days já divulgados neste pacote, sendo duas exploradas ativamente no mundo real.
Das duas zero-days ativamente exploradas, a CVE-2026-56155 no AD FS é a mais perigosa para ambientes corporativos com identidade federada. Ela não exige privilégios elevados para começar: basta um usuário autenticado com acesso local ao contêiner DKM, e uma ACL mal configurada, para que chaves privadas de assinatura de tokens sejam decifradas. Já a CVE-2026-56164 no SharePoint Server permite que um invasor não autenticado eleve privilégios pela rede, sem interação do usuário. A CISA impôs prazos rígidos: 17 de julho para agências federais resolverem o SharePoint e 28 de julho para o AD FS. Ignorar esses prazos não é só um risco técnico, é uma exposição regulatória direta.
O que mudou
Em junho de 2026, a Microsoft corrigiu cerca de 200 vulnerabilidades, número já considerado alto na época. Agora, em julho, saltou para 622, com aumento de 211%. Mais importante: enquanto o Patch Tuesday de junho incluía zero-days reportados por pesquisadores (como as correções após disputa com Nightmare Eclipse), o de julho traz duas falhas já exploradas ativamente, e documentadas pela CISA no KEV antes mesmo do lançamento oficial. A CVE-2026-56155 no AD FS, por exemplo, foi adicionada ao catálogo KEV em 14 de julho, um dia antes do Patch Tuesday, confirmando que a exploração já estava em curso. Isso mostra uma mudança de ritmo: não são mais apenas bugs descobertos em laboratório, mas falhas já em uso operacional por ameaças reais.
Por que isso importa
Essa onda de correções não é só sobre volume, é sobre superfície de ataque expandida. O AD FS e o SharePoint Server são pilares de infraestrutura crítica em milhares de empresas brasileiras, especialmente em setores regulados como finanças e saúde. Uma falha de EoP nesses sistemas pode levar à usurpação de identidades federadas, ao acesso não autorizado a dados sensíveis e à persistência avançada dentro da rede. Além disso, a introdução da MDASH indica que esse ritmo vai se manter: a Microsoft avisou que os próximos Patch Tuesdays terão ainda mais CVEs. Para equipes de TI, isso significa repensar a política de atualização, não dá mais para adiar patches sob alegação de 'testes extensos'. O novo padrão é aplicar atualizações críticas em até 72 horas, com rollback planejado.
Linha do tempo
Patch Tuesday de junho de 2026 corrige cerca de 200 vulnerabilidades, sendo quase 40 classificadas como críticas.
Microsoft corrige duas vulnerabilidades zero-day no Windows reportadas pelo pesquisador Nightmare Eclipse.
CISA alerta para exploração ativa de falha crítica de RCE no Microsoft SharePoint (CVE-2026-45659).
Microsoft corrige a vulnerabilidade zero-day 'RoguePlanet' no Defender após meses de controvérsia.
Patch Tuesday de julho de 2026 corrige 622 vulnerabilidades, incluindo duas zero-days exploradas ativamente (CVE-2026-56155 e CVE-2026-56164).
Perguntas frequentes
Por que o Patch Tuesday de julho de 2026 tem tanto mais falhas que o de junho?
A Microsoft atribui o salto de ~200 para 622 vulnerabilidades à adoção de sua nova ferramenta de varredura impulsionada por IA, chamada MDASH. Ela acelera a detecção automatizada de falhas em código-fonte e binários, aumentando drasticamente o número de CVEs identificadas por ciclo, não porque o software ficou pior, mas porque a capacidade de encontrar erros cresceu.
Qual é o risco real da CVE-2026-56155 no AD FS?
É uma falha de elevação de privilégios que permite a um usuário autenticado, mesmo com poucos direitos, decifrar chaves privadas usadas para assinar tokens SAML. Se o contêiner DKM tiver ACL excessivamente permissiva, o atacante pode forjar identidades federadas e acessar sistemas protegidos por SSO. Não exige engenharia social nem exploração remota direta.
A CVE-2026-56164 no SharePoint Server realmente permite ataque sem autenticação?
Sim. A falha é causada pela ausência de autenticação em uma função crítica do serviço. Um invasor pode enviar requisições específicas diretamente ao servidor, sem precisar de credenciais, e obter privilégios administrativos. A CISA classificou como moderada (CVSS 5.3), mas sua exploração ativa torna-a crítica na prática.
O que fazer agora, com tantas atualizações para aplicar?
Priorize as duas zero-days ativamente exploradas (AD FS e SharePoint), seguidas pelas 56, 61 falhas classificadas como críticas. Faça backups imediatos antes de aplicar qualquer patch. Evite testes extensos em produção: use ambientes paralelos ou máquinas virtuais para validação rápida. Lembre-se: a MDASH indica que esse volume será a nova normalidade, adapte seus SLAs de remediação.
Fontes
- cyberscoop.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 16 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

