O Patch Tuesday deste mês da **Microsoft Corp.** traz correções para pelo menos 77 vulnerabilidades que afetam os sistemas operacionais **Windows** e outros softwares. Embora não haja vulnerabilidades 'zero-day' este mês, vários patches exigem atenção imediata das organizações.  ## Principais Vulnerabilidades Abordadas Duas vulnerabilidades corrigidas este mês foram divulgadas publicamente anteriormente: * **CVE-2026-21262**: Uma vulnerabilidade de escalonamento de privilégios no **SQL Server 2016** e edições posteriores. De acordo com **Adam Barnett** da **Rapid7**, essa falha permite que um atacante eleve privilégios para sysadmin através de uma rede. A pontuação base do CVSS v3 é 8.8. * **CVE-2026-26127**: Uma vulnerabilidade em aplicações que rodam em **.NET**. A exploração pode levar à negação de serviço devido a uma falha, com potencial para outros ataques durante reinícios do serviço. ## Microsoft Office Alvo Como é típico, este Patch Tuesday inclui exploits críticos do **Microsoft Office**. **CVE-2026-26113** e **CVE-2026-26110** são falhas de execução remota de código que podem ser acionadas simplesmente visualizando uma mensagem especialmente elaborada no Painel de Visualização. ## Bugs de Escalonamento de Privilégios **Satnam Narang** da **Tenable** aponta que mais da metade (55%) dos CVEs do Patch Tuesday deste mês são bugs de escalonamento de privilégios. Vários são classificados como 'exploração mais provável', afetando componentes como Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server e Winlogon. Exemplos chave incluem: * **CVE-2026-24291**: Atribuições incorretas de permissão na Windows Accessibility Infrastructure, potencialmente concedendo acesso SYSTEM (CVSS 7.8). * **CVE-2026-24294**: Autenticação inadequada no componente SMB principal (CVSS 7.8). * **CVE-2026-24289**: Uma falha de corrupção de memória e condição de corrida de alta severidade (CVSS 7.8). * **CVE-2026-25187**: Uma fraqueza no processo Winlogon descoberta pelo Google Project Zero (CVSS 7.8). ## Descoberta de Vulnerabilidades Impulsionada por IA **Ben McCarthy**, engenheiro-chefe de cibersegurança na **Immersive**, destacou **CVE-2026-21536**, um bug crítico de execução remota de código no Microsoft Devices Pricing Program. Notavelmente, essa vulnerabilidade foi identificada por **XBOW**, um agente de testes de penetração totalmente autônomo com IA. Isso demonstra o papel crescente da IA na pesquisa de vulnerabilidades. O XBOW tem consistentemente se classificado alto no placar de caça a bugs do Hacker One. De acordo com McCarthy, o CVE-2026-21536 demonstra como agentes de IA podem identificar vulnerabilidades críticas com pontuação 9.8 sem acesso ao código-fonte. ## Atualizações Adicionais A Microsoft lançou anteriormente patches para nove vulnerabilidades de navegador, separadas da contagem do Patch Tuesday. Adicionalmente, uma atualização fora de banda foi emitida em 2 de março para **Windows Server 2022** para corrigir um problema de renovação de certificado com o Windows Hello for Business. ## Outras Atualizações de Fornecedores A **Adobe** lançou atualizações abordando 80 vulnerabilidades em vários produtos, incluindo **Acrobat** e **Adobe Commerce**. O **Mozilla Firefox** v. 148.0.2 resolve três CVEs de alta severidade. Para uma análise abrangente, consulte a postagem do Patch Tuesday do SANS Internet Storm Center. Administradores corporativos do Windows também devem visitar AskWoody.com para atualizações sobre patches problemáticos. Considere deixar um comentário se encontrar quaisquer problemas ao aplicar as atualizações deste mês.