O Patch Tuesday de Abril de 2026 da **Microsoft** aborda um recorde de 169 vulnerabilidades de segurança, superando todas as atualizações anteriores em tamanho, com exceção de uma. Este extenso patch corrige falhas críticas em todo o portfólio de produtos da empresa, incluindo uma vulnerabilidade zero-day que está sendo explorada atualmente. ### Detalhamento das Vulnerabilidades Das 169 vulnerabilidades corrigidas, 157 são classificadas como Importantes, oito como Críticas, três como Moderadas e uma como Baixa. A maioria dessas falhas (93) são vulnerabilidades de escalonamento de privilégios, seguidas por divulgação de informações (21), execução remota de código (21), bypass de recursos de segurança (14), spoofing (10) e negação de serviço (9). As atualizações também incluem quatro CVEs emitidos por partes que não a **Microsoft**, afetando **AMD** (**CVE-2023-20585**), **Node.js** (**CVE-2026-21637**), Windows Secure Boot (**CVE-2026-25250**) e **Git for Windows** (**CVE-2026-32631**). Isso se soma às 78 vulnerabilidades corrigidas no navegador Edge baseado em Chromium desde a atualização do mês passado. ### Um Patch Recorde Este lançamento é o segundo maior Patch Tuesday até hoje, ficando atrás apenas de Outubro de 2025, quando a **Microsoft** corrigiu 183 falhas. **Satnam Narang**, engenheiro sênior de pesquisa na **Tenable**, observou que, se o ritmo continuar, 2026 provavelmente verá mais de 1.000 CVEs no Patch Tuesday. Narang também observou o domínio de bugs de elevação de privilégios nos ciclos recentes do Patch Tuesday, representando 57% de todos os CVEs corrigidos em Abril. As vulnerabilidades de execução remota de código (RCE) diminuíram para 12%, empatando com as vulnerabilidades de divulgação de informações. ### Vulnerabilidade Ativamente Explorada: CVE-2026-32201 A vulnerabilidade ativamente explorada é a **CVE-2026-32201** (pontuação CVSS: 6.5), uma vulnerabilidade de spoofing no **Microsoft SharePoint Server**. De acordo com a **Microsoft**, a validação inadequada de entrada permite que um atacante não autorizado realize spoofing em uma rede, potencialmente visualizando informações confidenciais ou fazendo alterações nas informações divulgadas. Embora a vulnerabilidade tenha sido descoberta internamente, os detalhes de sua exploração, os atores envolvidos e a escala dos ataques são atualmente desconhecidos. **Mike Walters**, presidente e cofundador da **Action1**, enfatizou que essa falha permite que atacantes manipulem como as informações são apresentadas aos usuários, potencialmente enganando-os para que confiem em conteúdo malicioso. A Agência de Segurança Cibernética e Infraestrutura dos EUA (**CISA**) adicionou a **CVE-2026-32201** ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), determinando que as agências do Ramo Executivo Civil Federal (FCEB) corrijam a vulnerabilidade até 28 de Abril de 2026. ### Vulnerabilidade Publicamente Conhecida: CVE-2026-33825 (BlueHammer) Outra vulnerabilidade notável é a **CVE-2026-33825**, uma falha de escalonamento de privilégios no **Microsoft Defender** (pontuação CVSS: 7.8), que era publicamente conhecida no momento do lançamento. Essa falha poderia permitir que um atacante autorizado elevasse privilégios localmente explorando a falta de controles de acesso granulares adequados do **Defender**. A **Microsoft** afirma que nenhuma ação do usuário é necessária para instalar a atualização para a **CVE-2026-33825**, pois a plataforma se atualiza frequentemente por padrão. Sistemas que desativaram o **Microsoft Defender** não são vulneráveis. Este patch acredita-se que resolva um exploit zero-day conhecido como **BlueHammer**, que foi compartilhado no **GitHub** em 3 de Abril de 2026 por um pesquisador de segurança após uma disputa com a **Microsoft** sobre o processo de divulgação de vulnerabilidades. O acesso ao repositório do exploit atualmente requer login no **GitHub**. A **Cyderes** explica que o **BlueHammer** explora o processo de atualização do **Microsoft Defender** através do abuso do Volume Shadow Copy para escalar privilégios para NT AUTHORITY\SYSTEM, encadeando recursos legítimos do Windows. Os pesquisadores **Rahul Ramesh** e **Reegun Jayapaul** da **Cyderes** detalharam como o **BlueHammer** usa callbacks de Cloud Files e oplocks para pausar o **Defender** durante a criação de um snapshot temporário do Volume Shadow Copy, deixando as hives de registro SAM, SYSTEM e SECURITY acessíveis. **Will Dormann** confirmou no Mastodon que o exploit **BlueHammer** não funciona mais e parece ter sido corrigido pela **CVE-2026-33825**, embora alguns componentes do exploit ainda possam funcionar. ### Vulnerabilidade Crítica de Execução Remota de Código: CVE-2026-33824 Entre as vulnerabilidades mais graves está a **CVE-2026-33824**, uma falha de execução remota de código que afeta as Extensões do Serviço Internet Key Exchange (IKE) do Windows, com uma pontuação CVSS de 9.8 de 10.0. **Adam Barnett**, engenheiro sênior de software na **Rapid7**, afirmou que a exploração requer que um atacante envie pacotes especialmente criados para uma máquina Windows com IKE v2 habilitado, potencialmente levando à execução remota de código. Barnett destacou a raridade de vulnerabilidades RCE não autenticadas contra ativos modernos do Windows, mas enfatizou a exposição inerente do IKE, dado seu papel em fornecer serviços de negociação de túnel seguro para VPNs. **Walters** alertou que essa falha representa uma séria ameaça a ambientes corporativos, especialmente aqueles que usam VPN ou IPsec para comunicações seguras. A exploração bem-sucedida poderia resultar em comprometimento total do sistema, permitindo roubo de dados, interrupção operacional ou movimento lateral pela rede. A falta de interação do usuário necessária e o potencial de ataques generalizados tornam essa vulnerabilidade particularmente perigosa para sistemas voltados para a internet que executam serviços IKEv2.