Microsoft

A Microsoft anunciou a correção de duas vulnerabilidades críticas no seu software de antivírus Defender, que estão sendo ativamente exploradas por cibercriminosos. As falhas, identificadas como CVE-2026-41091 e CVE-2026-45498, têm pontuações de severidade de 7.8 e 7.5, respectivamente, em uma escala de 10. A primeira permite a escalada de privilégios, enquanto a segunda pode causar negação de serviço. As atualizações foram enviadas automaticamente, mas os usuários são aconselhados a verificar manualmente se estão utilizando as versões mais recentes do Malware Protection Engine e da Antimalware Platform. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essas vulnerabilidades em seu catálogo de vulnerabilidades conhecidas, dando um prazo até 3 de junho para que agências federais realizem as correções necessárias. A Microsoft recomenda que todos os usuários do Defender verifiquem suas versões para garantir que estão protegidos contra essas ameaças.

Na quarta-feira, a Microsoft iniciou a distribuição de patches de segurança para duas vulnerabilidades do Microsoft Defender que estão sendo exploradas em ataques zero-day. A primeira, identificada como CVE-2026-41091, é uma falha de escalonamento de privilégios que afeta o Microsoft Malware Protection Engine 1.1.26030.3008 e versões anteriores. Essa vulnerabilidade permite que atacantes obtenham privilégios de SYSTEM devido a uma resolução inadequada de links antes do acesso a arquivos. A segunda vulnerabilidade, CVE-2026-45498, impacta sistemas com a Microsoft Defender Antimalware Platform 4.18.26030.3011 e versões anteriores, permitindo que atores maliciosos provoquem estados de negação de serviço (DoS) em dispositivos Windows não corrigidos. A Microsoft lançou as versões 1.1.26040.8 e 4.18.26040.7 para corrigir essas falhas e recomenda que os usuários verifiquem se as atualizações estão configuradas para instalação automática. A CISA, agência de cibersegurança dos EUA, também emitiu um alerta para que agências governamentais protejam seus sistemas Windows contra essas vulnerabilidades, que estão ativamente sendo exploradas. A CISA incluiu essas falhas em seu catálogo de vulnerabilidades conhecidas exploradas e ordenou que as agências federais tomem medidas de segurança em até duas semanas.

A Microsoft alertou que um grupo de hackers conhecido como Storm-2949 está explorando a funcionalidade de redefinição de senha em seus serviços, como Microsoft 365 e Azure, para sequestrar contas de usuários. O ataque ocorre quando os criminosos identificam suas vítimas, obtêm seus números de telefone e e-mails, e iniciam o processo de redefinição de senha. Em seguida, eles ligam para as vítimas, se passando por técnicos de TI, e convencem-nas a aprovar um prompt de autenticação multifatorial (MFA). Com isso, os hackers conseguem redefinir a senha e acessar informações sensíveis. A Microsoft descreveu essa campanha como metódica e sofisticada, destacando que os atacantes conseguiram baixar milhares de arquivos de contas comprometidas. Para se proteger, a empresa recomenda que os usuários limitem as permissões de controle de acesso baseado em função (RBAC) no Azure e monitorem operações de gerenciamento de alto risco. As medidas de segurança incluem a retenção de logs do Azure Key Vault e a restrição de acesso público a esses cofres, além de opções de proteção de dados no Azure Storage.

A Microsoft anunciou a interrupção de uma operação de malware-signing-as-a-service (MSaaS) que utilizava seu sistema Artifact Signing para distribuir códigos maliciosos, incluindo ransomware. A operação, atribuída ao grupo Fox Tempest, comprometeu milhares de máquinas em todo o mundo desde maio de 2025. A Microsoft, através da operação codinome OpFauxSign, tomou medidas drásticas, como a apreensão do site signspace[.]cloud e a desativação de centenas de máquinas virtuais associadas. O esquema permitia que cibercriminosos disfarçassem malware como software legítimo, utilizando certificados de assinatura fraudulentos válidos por apenas 72 horas. Entre os malwares distribuídos estão o ransomware Rhysida e outras famílias como Oyster e Lumma Stealer. A operação também revelou conexões com grupos de ransomware conhecidos, como INC e BlackByte, que atacaram setores críticos como saúde e finanças em países como EUA, França, Índia e China. A Microsoft destacou que a capacidade de fazer software malicioso parecer legítimo é uma ameaça significativa à segurança cibernética, tornando essencial a interrupção dessa prática.

A Microsoft apresentou duas novas ferramentas open-source, RAMPART e Clarity, para auxiliar desenvolvedores na segurança de agentes de inteligência artificial (IA). O RAMPART, que significa Plataforma de Avaliação e Medição de Risco para Red Teaming de Agentes, é um framework de testes de segurança nativo do Pytest, permitindo a criação e execução de testes que abordam tanto questões adversariais quanto benignas. Os usuários podem desenvolver casos de teste para explorar violações de segurança, como injeções de prompt e regressões comportamentais indesejadas. O Clarity, por sua vez, atua como um parceiro de pensamento para os desenvolvedores, ajudando na clarificação de problemas e na exploração de soluções antes mesmo da codificação. Ambas as ferramentas visam integrar a segurança desde as fases iniciais do desenvolvimento, permitindo que gerentes de produto e engenheiros testem suas suposições de forma eficaz. A Microsoft enfatiza que essas abordagens transformam a segurança da IA em um processo contínuo, ao invés de uma revisão pontual, promovendo um ciclo de aprendizado e mitigação de riscos ao longo do ciclo de vida do software.

A Microsoft divulgou uma mitigação para uma vulnerabilidade crítica no BitLocker, conhecida como YellowKey, que permite a um atacante contornar a proteção de criptografia em dispositivos Windows. A falha, identificada como CVE-2026-45585, possui uma pontuação CVSS de 6.8 e afeta diversas versões do Windows 11 e Windows Server 2025. O problema foi revelado por um pesquisador de segurança e permite que arquivos especialmente manipulados sejam usados para obter acesso não autorizado ao volume protegido pelo BitLocker. Para mitigar o risco, a Microsoft recomenda que os usuários montem a imagem do Windows Recovery Environment (WinRE) em seus dispositivos e realizem modificações específicas no registro do sistema. Além disso, a empresa sugere que os administradores mudem a configuração do BitLocker de ‘TPM-only’ para ‘TPM+PIN’, o que exige um PIN para a descriptografia do disco na inicialização, aumentando a segurança contra ataques do tipo YellowKey. A vulnerabilidade destaca a importância de manter as configurações de segurança atualizadas e de implementar medidas adicionais de autenticação em dispositivos críticos.

A Microsoft anunciou medidas de mitigação para a vulnerabilidade YellowKey, uma falha zero-day no BitLocker do Windows que permite acesso não autorizado a unidades protegidas. A vulnerabilidade foi revelada por um pesquisador anônimo, conhecido como ‘Nightmare Eclipse’, que também publicou um exploit de prova de conceito (PoC). O ataque envolve a colocação de arquivos ‘FsTx’ em um dispositivo USB ou partição EFI, seguido de um reinício no Windows Recovery Environment (WinRE) e a ativação de um shell com acesso irrestrito ao volume protegido pelo BitLocker. A Microsoft classificou a falha como CVE-2026-45585 e recomendou a remoção do executável autofstx.exe do registro do sistema, além de sugerir a configuração do BitLocker para exigir um PIN na inicialização. Essas medidas visam proteger os dispositivos até que uma atualização de segurança seja disponibilizada. A situação é preocupante, pois outras vulnerabilidades, como BlueHammer e RedSun, também foram divulgadas recentemente e estão sendo exploradas em ataques ativos. A empresa enfatiza a importância de seguir as orientações para mitigar os riscos associados a essa falha.

A Microsoft anunciou a interrupção de uma operação de malware-signing-as-a-service (MSaaS) que explorava seu serviço de assinatura de artefatos para gerar certificados de assinatura de código fraudulentos, utilizados por gangues de ransomware e outros cibercriminosos. O grupo, identificado como Fox Tempest, criou mais de 1.000 certificados e centenas de assinaturas na plataforma Azure Artifact Signing, permitindo que malware fosse assinado digitalmente e reconhecido como software legítimo. A operação foi desmantelada em maio de 2026, com a ajuda de parceiros da indústria, e resultou na revogação de mais de mil certificados. A Microsoft também bloqueou o domínio signspace[.]cloud, utilizado para a operação, e tomou medidas contra a infraestrutura que suportava a plataforma criminosa. O malware assinado foi associado a diversas campanhas de ransomware, incluindo Rhysida e BlackByte, e permitiu que os atacantes disfarçassem software malicioso como aplicativos legítimos, como Microsoft Teams e AnyDesk. A operação gerou milhões de dólares em lucros e utilizou identidades roubadas para obter os certificados de assinatura.

A Microsoft anunciou uma ação global contra o grupo Fox Tempest, que operava um esquema de ‘Malware Signing-as-a-Service’ (MSaaS). Este grupo ajudava cibercriminosos a distribuir malwares disfarçados de softwares legítimos, utilizando certificados digitais fraudulentos. Esses certificados permitiam que arquivos maliciosos fossem instalados sem levantar suspeitas, burlando sistemas de segurança e aumentando as taxas de infecção. O esquema, que funcionava como uma plataforma clandestina, oferecia suporte via Telegram e tinha um sistema de filas para atendimento, cobrando até US$ 9,5 mil por serviços prioritários. A operação da Microsoft resultou na desativação de cerca de mil contas e na transferência de domínios maliciosos para controle da empresa, em colaboração com o FBI e Europol. O Brasil foi identificado como um dos países mais afetados, ocupando a quinta posição no ranking global de alvos. A ação destaca a evolução do cibercrime, que agora se apresenta como uma economia de serviços digitalizada, exigindo uma colaboração mais estreita entre a indústria e as autoridades para combater essas ameaças.

O Relatório de Vulnerabilidades da Microsoft de 2026 revela que, embora o número total de vulnerabilidades tenha diminuído de 1.360 para 1.273 em 2025, as vulnerabilidades críticas dobraram, passando de 78 para 157. A concentração de falhas em Elevação de Privilégios, que representa 40% de todas as CVEs, e um aumento de 73% em falhas de Divulgação de Informações indicam que os atacantes estão priorizando métodos discretos de exploração. Em ambientes de nuvem, como Microsoft Azure e Dynamics 365, as vulnerabilidades críticas aumentaram drasticamente, o que pode comprometer operações empresariais inteiras. O relatório destaca que a gestão de patches sozinha não é suficiente; as organizações devem focar na redução de privilégios e na visibilidade de identidade. A crescente utilização de agentes de IA também exige uma postura de segurança robusta. O artigo conclui que, se as organizações não reavaliarem suas suposições sobre privilégios e identidade, o impacto de futuras violações pode ser severo, mesmo que os números de vulnerabilidades pareçam estáveis.

A Microsoft anunciou a Driver Quality Initiative (DQI), uma nova estratégia para melhorar a qualidade dos drivers do Windows 11, que são essenciais para a experiência do usuário. A empresa reconheceu que a qualidade dos drivers tem diminuído, resultando em problemas como telas azuis da morte (BSOD) e falhas em jogos. A DQI se baseia em quatro pilares principais: a migração de drivers de terceiros para um modo mais seguro, uma verificação mais rigorosa dos parceiros, melhorias na higiene do catálogo do Windows Update e uma análise mais detalhada de estabilidade e desempenho. A Microsoft está colaborando com empresas como AMD e Intel para garantir que os drivers ofereçam segurança e desempenho confiáveis. Além disso, a empresa está se esforçando para reconquistar a confiança dos usuários do Windows, após críticas sobre suas recentes atualizações e mudanças de foco. Entre as melhorias esperadas para 2026 estão a restauração da barra de tarefas móvel e otimizações de desempenho para dispositivos com menos memória. Embora a implementação das mudanças ainda não tenha uma data definida, a Microsoft promete que elas serão visíveis nos próximos meses.

A Microsoft confirmou que a atualização de segurança do Windows 11 de maio de 2026 (KB5089549) está apresentando falhas de instalação em alguns sistemas, resultando em erros 0x800f0922. Esse problema é causado pela falta de espaço livre na Partição do Sistema EFI (ESP), especialmente em dispositivos com 10 MB ou menos disponíveis. A instalação pode avançar nas fases iniciais, mas falha durante a reinicialização, gerando a mensagem ‘Algo não saiu como planejado. Desfazendo alterações.’ Os usuários afetados podem encontrar entradas de log que indicam a insuficiência de espaço na ESP. A Microsoft está trabalhando na resolução do problema e recomenda que os clientes afetados utilizem o recurso Known Issue Rollback para reverter a atualização problemática. Em ambientes corporativos, os administradores de TI podem mitigar a situação instalando e configurando uma Política de Grupo específica. Além disso, a atualização KB5089549 foi lançada juntamente com outras correções e melhorias, incluindo um conserto para um problema que fazia alguns sistemas do Windows 11 inicializarem na recuperação do BitLocker após a instalação das atualizações de segurança de abril de 2026.

A Microsoft anunciou a volta da barra de tarefas redimensionável e do menu Iniciar no Windows 11, disponível na versão de pré-visualização para Insiders. A partir da Build 26300.8493, os usuários podem configurar a barra de tarefas com ícones menores e movê-la para qualquer lado da tela. Diego Baca, diretor de design da Microsoft, destacou que essa era uma das funcionalidades mais solicitadas pelos usuários. Para ajustar a posição da barra, é necessário acessar Configurações > Personalização > Barra de tarefas > Comportamentos da barra de tarefas. Além disso, a Microsoft está permitindo que os usuários personalizem o menu Iniciar, desativando conteúdos recomendados e ajustando seu tamanho. Embora os usuários possam ocultar seu nome e foto de perfil, a lista de aplicativos instalados recentemente será mantida para facilitar a descoberta de novos softwares. A empresa também está testando um novo diálogo de execução do Windows com suporte a modo escuro, que promete ser mais rápido que a versão anterior. Essas mudanças visam melhorar a performance do Windows 11 e a experiência do usuário, com menos notificações e configurações simplificadas.

O concurso de hacking Pwn2Own Berlin 2026, realizado entre 14 e 16 de maio na OffensiveCon, resultou em prêmios totais de $1,298,250, após a exploração de 47 falhas zero-day. Os pesquisadores de segurança focaram em tecnologias empresariais e inteligência artificial, atacando produtos totalmente atualizados, incluindo navegadores, aplicações empresariais e ambientes de virtualização. No primeiro dia, foram exploradas 24 falhas, gerando $523,000 em recompensas. No segundo, 15 falhas renderam $385,750, e no terceiro, 8 falhas resultaram em $389,500. A equipe DEVCORE se destacou, acumulando 50.5 pontos e $505,000 em prêmios, após comprometer produtos da Microsoft como SharePoint e Exchange. A maior recompensa, de $200,000, foi concedida a Cheng-Da Tsai por uma cadeia de bugs que permitiu execução remota de código no Microsoft Exchange. Após o evento, os fornecedores têm 90 dias para lançar patches de segurança antes que as falhas sejam divulgadas publicamente pela TrendMicro’s Zero Day Initiative.

A Microsoft anunciou uma nova funcionalidade chamada Cloud-Initiated Driver Recovery, que permitirá a reversão remota de drivers problemáticos do Windows distribuídos via Windows Update. Essa inovação elimina a necessidade de intervenção manual por parte de parceiros de hardware ou usuários finais para corrigir problemas de drivers, que podem afetar a performance dos dispositivos. O processo de recuperação será gerenciado exclusivamente pela Microsoft e será acionado apenas para drivers que foram rejeitados devido a problemas de qualidade durante a avaliação inicial. Atualmente, quando um driver apresenta falhas, a correção depende da submissão de um novo driver pelo parceiro de hardware ou da desinstalação manual pelo usuário, o que pode deixar os dispositivos vulneráveis a problemas por longos períodos. Com a nova funcionalidade, a Microsoft poderá reverter diretamente para uma versão anterior estável do driver, sem a necessidade de novas ferramentas ou ações dos parceiros. A implementação dessa funcionalidade está prevista para começar em setembro de 2026, após testes que ocorrerão entre maio e agosto do mesmo ano. Além disso, a Microsoft está investindo em uma iniciativa de qualidade de drivers para melhorar a confiabilidade e segurança no ecossistema Windows, em colaboração com diversos parceiros de hardware.

A Microsoft anunciou uma atualização para o navegador Edge, visando melhorar a segurança ao evitar que senhas salvas sejam carregadas em texto claro na memória do processo durante a inicialização. Essa mudança ocorre após a revelação de um problema por Tom Jøran Sønstebyseter Rønning, que demonstrou que as credenciais armazenadas no gerenciador de senhas do Edge eram descriptografadas no lançamento e mantidas na memória, mesmo quando não estavam em uso. Rønning também apresentou uma ferramenta de prova de conceito (PoC) que permitia a atacantes com privilégios de administrador extrair senhas de outros usuários. Em resposta, a Microsoft inicialmente defendeu que esse comportamento era ‘intencional’, mas agora se comprometeu a implementar mudanças em todas as versões suportadas do Edge, priorizando a redução da exposição de senhas na memória. Essa atualização já está disponível no canal Canary do Edge e será incluída nas próximas versões. A empresa também destacou um compromisso contínuo com a segurança, incluindo a proteção contra extensões maliciosas e a restrição do modo Internet Explorer do Edge após a exploração de vulnerabilidades. Essa atualização é um passo importante na proteção dos dados dos usuários e na mitigação de riscos de segurança.

Na quinta-feira, a Microsoft divulgou mitigação para uma vulnerabilidade de alta severidade no Exchange Server, identificada como CVE-2026-42897. Essa falha de segurança, que afeta as versões mais recentes do Exchange Server 2016, 2019 e Subscription Edition, permite que atacantes executem código arbitrário por meio de um ataque de cross-site scripting (XSS) direcionado a usuários do Outlook na web. Embora ainda não existam patches disponíveis, a Microsoft recomenda a ativação do Exchange Emergency Mitigation Service (EEMS), que oferece mitigação automática para servidores on-premises. A vulnerabilidade pode ser explorada ao enviar um e-mail especialmente elaborado para um usuário, que, ao abrir o e-mail no Outlook Web Access, pode ter JavaScript malicioso executado em seu navegador. É importante ressaltar que a aplicação das medidas de mitigação pode causar problemas, como a não exibição correta de imagens e a funcionalidade de impressão do calendário. A Microsoft planeja lançar patches para as versões afetadas, mas estes estarão disponíveis apenas para clientes que participam do programa de suporte estendido. A situação é crítica, especialmente considerando que a CISA e a NSA já emitiram orientações para proteger servidores Exchange contra ataques.

Um pesquisador anônimo de cibersegurança revelou duas novas vulnerabilidades no Microsoft Defender, conhecidas como YellowKey e GreenPlasma. A primeira, YellowKey, permite a contornagem do BitLocker, funcionando como uma porta dos fundos, e afeta o Windows 11 e Windows Server 2022/2025. O exploit se dá através da manipulação de arquivos ‘FsTx’ em um drive USB, permitindo que um invasor acesse um shell de comando com o BitLocker desbloqueado. O pesquisador destacou que a falha está oculta e que medidas como TPM+PIN não são eficazes. A segunda vulnerabilidade, GreenPlasma, refere-se a uma escalada de privilégios no Windows CTFMON, permitindo que usuários não privilegiados criem objetos de seção de memória arbitrários, potencialmente manipulando serviços ou drivers privilegiados. Essas falhas surgem em um contexto onde o pesquisador já havia denunciado outras vulnerabilidades que foram exploradas ativamente. A Microsoft, por sua vez, afirmou que investiga as questões de segurança reportadas, mas a resposta tem sido criticada por sua lentidão e falta de transparência.

A Microsoft anunciou a correção de um bug no Windows Autopatch que permitiu a instalação de atualizações de drivers em dispositivos gerenciados, mesmo quando políticas administrativas exigiam aprovação manual. O problema afetou um número limitado de dispositivos com Windows 11 (versões 25H2, 24H2 e 23H2) na União Europeia, resultando em comportamentos inesperados, como reinicializações e, em alguns casos, falhas no sistema. A empresa informou que a correção foi feita por meio de uma atualização do lado do serviço, sem necessidade de ação por parte dos usuários. Este incidente segue uma série de problemas recentes, incluindo um upgrade não autorizado de servidores Windows e dificuldades na instalação do Office em dispositivos Windows 365. A Microsoft enfatizou que a situação foi resolvida e que os clientes não precisam realizar atualizações adicionais para corrigir o problema.

A Microsoft anunciou a resolução de um problema que fazia com que alguns sistemas Windows 11 entrassem no modo de recuperação do BitLocker após a instalação das atualizações de segurança de abril de 2026. O BitLocker é um recurso de segurança que criptografa unidades de armazenamento para proteger dados contra roubo. O problema, que também afetou dispositivos com Windows 10 e Windows Server, foi reconhecido pela Microsoft em 14 de abril e estava relacionado a uma configuração de Política de Grupo do BitLocker considerada ’não recomendada’. A empresa informou que, após a instalação da atualização, alguns dispositivos poderiam exigir a chave de recuperação do BitLocker no primeiro reinício. A correção foi disponibilizada apenas para sistemas Windows 11 25H2, enquanto os usuários de Windows 10 e Windows Server ainda aguardam uma solução. A Microsoft aconselhou administradores de TI a remover a configuração de Política de Grupo que poderia causar o problema antes de aplicar as atualizações de abril de 2026. Este incidente destaca a importância de manter as configurações de segurança adequadas para evitar interrupções no acesso a dados críticos.

Na última terça-feira, a Microsoft lançou atualizações para 138 vulnerabilidades de segurança em seu portfólio de produtos. Dentre essas falhas, 30 foram classificadas como Críticas e 104 como Importantes. A maioria das vulnerabilidades está relacionada a elevações de privilégio e execução remota de código. Um dos destaques é a CVE-2026-41096, uma falha de buffer overflow que pode permitir que atacantes não autorizados executem código remotamente em sistemas Windows. Além disso, a Microsoft corrigiu vulnerabilidades críticas em serviços como Azure DevOps e Microsoft Dynamics 365, que podem expor informações sensíveis e permitir a execução de código malicioso. A empresa também enfatizou a importância de atualizar os certificados de Secure Boot antes da expiração em junho de 2026, para evitar falhas de segurança. A crescente descoberta de vulnerabilidades, impulsionada por abordagens de inteligência artificial, sugere que o volume de correções deve aumentar nos próximos meses. Com mais de 500 CVEs corrigidos em 2026 até agora, a situação exige atenção constante das organizações para mitigar riscos potenciais.

A Microsoft apresentou o MDASH, um novo sistema de inteligência artificial (IA) projetado para facilitar a descoberta e remediação de vulnerabilidades em larga escala. O MDASH, que significa multi-model agentic scanning harness, utiliza mais de 100 agentes de IA especializados para identificar, validar e comprovar falhas exploráveis em códigos complexos, como o Windows. Diferente de abordagens de modelo único, o sistema orquestra uma série de agentes que atuam em diferentes etapas do processo, desde a análise do código-fonte até a validação das descobertas. Recentemente, o MDASH foi testado e conseguiu identificar 16 vulnerabilidades que foram corrigidas na atualização de Patch Tuesday deste mês, incluindo duas falhas críticas que poderiam permitir a execução remota de código. A iniciativa da Microsoft segue o lançamento de outros projetos de IA voltados para a cibersegurança, destacando a crescente importância da IA na defesa contra ameaças cibernéticas. O impacto estratégico é significativo, pois a descoberta de vulnerabilidades por IA passou de uma curiosidade de pesquisa para uma defesa em escala empresarial, com um foco em sistemas de agentes ao invés de modelos isolados.

A Microsoft lançou a atualização de segurança KB5087544 para o Windows 10, visando corrigir vulnerabilidades identificadas durante o Patch Tuesday de maio de 2026. Esta atualização é aplicável para usuários do Windows 10 Enterprise LTSC e aqueles que participam do programa ESU. Após a instalação, a versão do Windows 10 será atualizada para a build 19045.7291, enquanto o Windows 10 Enterprise LTSC 2021 será atualizado para a build 19044.7291.

O foco principal da KB5087544 é a correção de 120 vulnerabilidades, incluindo um problema conhecido relacionado ao aviso de segurança do Remote Desktop, que poderia ser exibido incorretamente em configurações de múltiplos monitores. Além disso, a atualização melhora o relatório dinâmico do status do Secure Boot e inclui ajustes para o horário de verão no Egito. A Microsoft também alertou sobre um problema que pode solicitar a chave de recuperação do BitLocker após a instalação de atualizações recentes, afetando sistemas com uma configuração específica de Política de Grupo do BitLocker. Para contornar esse problema, a empresa recomenda a remoção da configuração afetada e a suspensão e retomada do BitLocker.

Pesquisadores de segurança da Cisco Talos identificaram uma nova variante do trojan de acesso remoto (RAT) CloudZ, que utiliza um plugin chamado Pheno para explorar a ferramenta Microsoft Phone Link. Essa ferramenta permite que usuários conectem seus dispositivos Android e iOS aos computadores com Windows 10 e 11, facilitando a realização de chamadas e o envio de mensagens. No entanto, o plugin Pheno permite que atacantes interceptem mensagens SMS e senhas temporárias (OTPs) sem precisar comprometer o telefone. Ao monitorar sessões ativas do Phone Link, o malware acessa um banco de dados local que armazena essas informações, comprometendo assim a autenticação de dois fatores (2FA). Os pesquisadores alertam que, embora o Phone Link seja uma funcionalidade útil, sua exploração pode levar a sérias vulnerabilidades de segurança. Eles recomendam que os usuários evitem serviços de OTP baseados em SMS e optem por aplicativos de autenticação que não dependam de notificações interceptáveis. A Cisco Talos ainda não conseguiu determinar como os usuários foram infectados, mas enfatiza a necessidade de precauções adicionais para proteger informações sensíveis.

A Microsoft emitiu um alerta sobre uma campanha de phishing em larga escala que afetou mais de 35.000 usuários em 13.000 empresas, principalmente nos Estados Unidos. Entre 14 e 16 de abril de 2026, a campanha se espalhou por 26 países, com 92% dos e-mails direcionados a organizações americanas, especialmente nos setores de saúde (19%) e serviços financeiros (18%). Os e-mails, que utilizavam templates HTML refinados e mensagens de urgência, foram projetados para parecer comunicações internas legítimas, aumentando a probabilidade de que os destinatários caíssem na armadilha. Os atacantes usaram identidades falsas e alegações de conformidade para pressionar os usuários a agir rapidamente. Além disso, os e-mails continham links que redirecionavam os usuários para páginas maliciosas após a abertura de PDFs, passando por CAPTCHAs para criar uma falsa sensação de segurança. O objetivo final era coletar credenciais do Microsoft em tempo real, contornando a autenticação multifator (MFA). Essa campanha destaca a evolução das táticas de phishing, exigindo que as empresas adotem medidas de segurança mais robustas para proteger suas informações.

A Microsoft revelou uma campanha de roubo de credenciais em larga escala que utilizou iscas relacionadas a códigos de conduta e serviços de e-mail legítimos para direcionar usuários a domínios controlados por atacantes. Observada entre 14 e 16 de abril de 2026, a campanha afetou mais de 35 mil usuários em mais de 13 mil organizações em 26 países, com 92% dos alvos localizados nos EUA. Os e-mails de phishing, que visavam principalmente os setores de saúde (19%), serviços financeiros (18%) e tecnologia (11%), apresentavam templates HTML sofisticados que aumentavam sua credibilidade. As mensagens criavam um senso de urgência, solicitando ações imediatas sob a alegação de revisões de conduta interna. Os atacantes usaram serviços de entrega de e-mail legítimos e incluíram anexos PDF que levavam a um fluxo de coleta de credenciais. A campanha utilizou táticas de phishing adversário no meio (AiTM) para contornar autenticações multifatoriais (MFA). Além disso, a análise da Microsoft indicou um aumento significativo em ataques de phishing via QR code e uma evolução rápida em phishing com CAPTCHA. Com 8,3 bilhões de ameaças de phishing detectadas entre janeiro e março de 2026, a situação exige atenção redobrada das organizações.

A Microsoft confirmou que as atualizações de segurança de abril de 2026 estão causando falhas em aplicativos de backup de terceiros que utilizam o driver psmounterex.sys. Este problema afeta softwares que utilizam o Volume Shadow Copy Service (VSS) para criar snapshots, resultando em erros e timeouts durante o processo de backup. Produtos de empresas como Macrium, Acronis, UrBackup Server e NinjaOne Backup, que operam em dispositivos com Windows 10, Windows 11 e Windows Server, estão entre os impactados. A atualização de abril incluiu uma mudança de segurança que adicionou o psmounterex.sys à lista de drivers vulneráveis, visando proteger os usuários contra uma vulnerabilidade de buffer overflow (CVE-2023-43896) que poderia permitir a escalada de privilégios ou execução de código arbitrário. A Microsoft recomenda que os usuários afetados atualizem seus aplicativos para versões mais recentes que utilizem drivers atualizados e seguros. Os administradores de TI podem observar comportamentos como falhas ao montar arquivos de imagem de backup e mensagens de erro relacionadas ao VSS. A empresa também alertou que alguns dispositivos com Windows Server 2025 podem entrar no modo de recuperação do BitLocker após a instalação de uma atualização específica.

A Microsoft anunciou uma atualização significativa para o diálogo Executar no Windows 11, introduzindo uma versão moderna que suporta o modo escuro e oferece desempenho mais rápido. O diálogo Executar, uma ferramenta essencial desde a era do Windows 95, permite que usuários acessem rapidamente comandos, arquivos e ferramentas sem a necessidade de abrir o Explorador de Arquivos. A nova versão, que faz parte da build de pré-visualização 26300.8346, mantém a funcionalidade original, mas adota o design Fluent, resultando em um tempo de resposta médio de 94ms, superando os 103ms da versão anterior. A Microsoft também decidiu remover o botão ‘Procurar’, que tinha uma taxa de uso inferior a 0,0038%, com base em uma amostra de 35 milhões de usuários. O novo diálogo é opcional e pode ser ativado nas Configurações Avançadas do Windows. Além disso, a atualização inclui melhorias na interface de compartilhamento do Windows e maior controle sobre a ferramenta de Lupa. Essas mudanças visam não apenas modernizar a experiência do usuário, mas também aumentar a eficiência do sistema operacional como um todo.

A Microsoft anunciou uma atualização em sua política de remoção de aplicativos pré-instalados no Windows 11, permitindo que administradores de TI escolham quais aplicativos da Microsoft Store podem ser desinstalados. A nova política, chamada RemoveDefaultMicrosoftStorePackages, agora permite a remoção de qualquer aplicativo MSIX/APPX pré-instalado, utilizando o nome da família do pacote (PFN) através de objetos de política de grupo (GPO) ou um OMA-URI personalizado para gerenciamento de dispositivos móveis (MDM). Para utilizar essa funcionalidade, os administradores devem garantir que seus dispositivos tenham pelo menos a atualização não relacionada à segurança de abril de 2026 instalada. Além disso, a política foi estendida para as edições Enterprise e Education do Windows 11 versão 24H2, que anteriormente só era aplicável a versões 25H2 ou superiores. A Microsoft também mencionou que a remoção do assistente digital Copilot agora é possível com uma nova configuração de política. Embora a opção de lista dinâmica ainda não esteja disponível no Intune, a Microsoft planeja implementá-la em breve. Essa atualização visa facilitar a gestão de aplicativos na Microsoft Store em ambientes corporativos, permitindo uma abordagem mais personalizada e eficiente na administração de software.

A Microsoft anunciou a correção de um problema conhecido que afetava a exibição de avisos de segurança ao abrir arquivos de Conexão de Área de Trabalho Remota (.rdp) em sistemas Windows. Essa falha impactava todas as versões suportadas do Windows, incluindo Windows 11 e Windows 10, especialmente em dispositivos com múltiplos monitores e diferentes configurações de escala de exibição. A correção foi incluída na atualização cumulativa opcional KB5083631, liberada recentemente, que também trouxe outras 34 alterações. Os avisos de segurança foram introduzidos nas atualizações cumulativas de abril de 2026 para desativar recursos compartilhados arriscados por padrão, como uma medida contra ataques de phishing que abusam dos arquivos .rdp. Os usuários relataram que, após a instalação da atualização de segurança KB5083769, alguns aplicativos de backup de terceiros também apresentaram falhas devido a um tempo limite no Serviço de Cópia de Sombra de Volume (VSS). A Microsoft já havia liberado atualizações fora do ciclo regular para corrigir problemas que causavam loops de reinicialização e falhas na instalação de atualizações em servidores Windows. Essa situação destaca a importância de manter os sistemas atualizados e monitorar as atualizações de segurança para evitar vulnerabilidades.

A Microsoft lançou a atualização cumulativa opcional KB5083631 para o Windows 11, que inclui 34 alterações significativas, como um novo modo Xbox para PCs, melhorias de segurança e desempenho para arquivos em lote, e otimizações no lançamento de aplicativos de inicialização. Esta atualização é uma prévia que permite que administradores testem correções de bugs e novas funcionalidades antes do lançamento oficial no próximo Patch Tuesday. Entre as melhorias, destaca-se o modo Xbox, que oferece uma interface em tela cheia para jogos, minimizando distrações. Além disso, a atualização aprimora a segurança e o desempenho de scripts CMD e arquivos em lote, introduzindo um modo de processamento mais seguro que impede alterações durante a execução. A instalação pode ser feita através das Configurações do Windows, mas é necessário optar pelo download manual, já que se trata de uma atualização opcional. A atualização também traz melhorias na autenticação Kerberos e no registro de eventos relacionados a vulnerabilidades específicas. Vale ressaltar que a Microsoft está substituindo certificados de Secure Boot que expiram em junho de 2026, o que pode impactar dispositivos que não receberem as atualizações necessárias.

A Microsoft está lidando com um problema conhecido que impede alguns usuários do Microsoft Teams Free de realizar chamadas e enviar mensagens. O Teams Free, uma versão sem assinatura destinada a indivíduos e pequenos grupos, oferece ferramentas de videoconferência e compartilhamento de arquivos. A empresa atribui os problemas a uma “mudança recente no backend” que fez com que algumas telas de consentimento e integração fossem puladas, tornando os perfis de usuários inacessíveis para outros. Os primeiros relatos sobre a questão surgiram em 8 de abril, e a Microsoft ainda não divulgou quais regiões estão afetadas ou quantos usuários foram impactados. A situação foi classificada como uma “degradação de serviço”, o que indica que, embora o serviço não esteja fora do ar, os usuários estão enfrentando dificuldades significativas. A Microsoft está buscando uma solução e planeja fornecer atualizações adicionais. Além disso, a empresa reconheceu recentemente outro problema que impede usuários do Windows de ingressar em reuniões do Teams devido a um bug introduzido por uma atualização do navegador Microsoft Edge.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), com base em evidências de exploração ativa. A primeira, CVE-2024-1708, é uma vulnerabilidade de travessia de caminho no ConnectWise ScreenConnect, com uma pontuação CVSS de 8.4, que permite a execução remota de código e pode comprometer dados confidenciais. Esta falha foi corrigida em fevereiro de 2024. A segunda, CVE-2026-32202, com uma pontuação CVSS de 4.3, é uma falha no mecanismo de proteção do Microsoft Windows Shell, permitindo que atacantes não autorizados realizem spoofing em redes. Essa vulnerabilidade foi corrigida em abril de 2026. A inclusão da CVE-2026-32202 no catálogo ocorreu após a Microsoft reconhecer que a falha estava sendo ativamente explorada, relacionada a um patch incompleto de outra vulnerabilidade. A CVE-2024-1708 tem sido explorada em conjunto com a CVE-2024-1709, uma falha crítica de bypass de autenticação, em ataques associados a grupos de ameaças, incluindo um ator baseado na China. As agências do governo dos EUA têm até 12 de maio de 2026 para aplicar as correções necessárias.

A Microsoft anunciou que começará a bloquear conexões TLS legadas para clientes de e-mail POP e IMAP no Exchange Online a partir de julho de 2026. O protocolo de segurança Transport Layer Security (TLS) é essencial para proteger informações dos usuários contra espionagem e adulteração durante o acesso ao e-mail pela Internet. As versões TLS 1.0 e 1.1, que estão em uso há mais de duas décadas, são consideradas obsoletas e inseguras. A maioria dos usuários não será afetada, pois a maioria do tráfego POP e IMAP já utiliza TLS 1.2 ou superior. A Microsoft enfatizou que apenas clientes que optaram explicitamente por usar essas versões legadas serão impactados pela mudança. Após a descontinuação, conexões que utilizarem TLS 1.0 ou 1.1 falharão, e aplicações ou dispositivos legados poderão parar de funcionar. A empresa recomenda que os clientes atualizem seus aplicativos e dispositivos para garantir a compatibilidade com TLS 1.2 ou superior, evitando interrupções no serviço. Essa mudança é parte de um movimento mais amplo para garantir a segurança do tráfego na Internet contra ataques de sniffing, alinhando-se a diretrizes de segurança de organizações como a NSA.

Na segunda-feira, a Microsoft enfrentou uma interrupção significativa que afetou usuários do Outlook.com em todo o mundo, resultando em problemas intermitentes de login. A empresa confirmou que muitos clientes não conseguiam acessar suas caixas de entrada e, em alguns casos, eram desconectados de suas contas, recebendo mensagens de erro como ‘muitas solicitações’. Após cerca de 10 horas de dificuldades, a Microsoft atribuiu os problemas a uma ‘mudança recentemente introduzida’, mas não forneceu detalhes adicionais. Embora o serviço tenha sido restabelecido por volta das 19h UTC, a Microsoft alertou que os usuários de iPhone precisariam reentrar suas credenciais manualmente no aplicativo Mail. O procedimento envolve acessar as configurações do iPhone, selecionar a conta de e-mail e atualizar a senha. A empresa não divulgou quantos usuários foram afetados ou quais regiões enfrentaram os problemas, mas classificou o incidente como uma ‘degradação de serviço’. Este não é o primeiro problema recente da Microsoft, que também lidou com interrupções em serviços como Exchange Online e problemas de login no Microsoft 365. A situação destaca a importância de monitorar a saúde dos serviços de e-mail, especialmente em um ambiente corporativo onde a comunicação é crítica.

A Microsoft confirmou um novo problema que afeta os avisos de segurança do Windows ao abrir arquivos de Conexão de Área de Trabalho Remota (.rdp). Essa questão impacta todas as versões suportadas do Windows, incluindo Windows 11 e Windows 10, e ocorre quando os usuários utilizam mais de um monitor com diferentes configurações de escala de exibição. Os avisos de segurança podem apresentar texto sobreposto e botões mal posicionados, dificultando a leitura e a interação. Essa falha foi introduzida nas atualizações cumulativas de abril de 2026, que visam proteger os usuários contra arquivos RDP maliciosos. Os arquivos RDP são frequentemente utilizados em ambientes corporativos para conectar-se a sistemas remotos, mas têm sido alvo de abusos em campanhas de phishing. A Microsoft recomenda que os usuários verifiquem a legitimidade dos arquivos RDP, especialmente aqueles que não estão digitalmente assinados, pois podem representar riscos de segurança. A situação exige atenção, pois a falha pode impactar a segurança das conexões remotas em empresas, especialmente em um cenário onde ataques cibernéticos estão em ascensão.

A Microsoft atualizou sua recomendação sobre uma vulnerabilidade de alta severidade no Windows Shell, identificada como CVE-2026-32202, que está sendo explorada ativamente. Essa falha de spoofing permite que atacantes acessem informações sensíveis ao enviar arquivos maliciosos que a vítima precisa executar. Embora a vulnerabilidade tenha um CVSS de 4.3, o impacto é significativo, pois permite a visualização de dados confidenciais, mas não altera a integridade ou disponibilidade das informações. A falha é resultado de um patch incompleto de uma vulnerabilidade anterior, CVE-2026-21510, que foi explorada por um grupo de ameaças persistentes avançadas (APT) conhecido como APT28, associado a ataques direcionados à Ucrânia e países da União Europeia. A exploração se dá através de arquivos de atalho do Windows que contêm caminhos UNC, permitindo que o código malicioso seja executado sem interação do usuário. A Microsoft já lançou um patch para mitigar a vulnerabilidade, mas a exploração ativa ainda representa um risco significativo para usuários e organizações que utilizam o Windows. É crucial que as empresas realizem atualizações imediatas e monitorem suas redes para evitar possíveis comprometimentos.

A Microsoft anunciou uma reformulação do programa Windows Insider, visando melhorar a experiência dos usuários que testam versões beta do Windows 11. O programa, que até então apresentava uma estrutura confusa com múltiplos canais, agora será simplificado em apenas dois: ‘Experimental’ e ‘Beta’. O canal Experimental permitirá acesso a recursos em desenvolvimento, enquanto o Beta disponibilizará novas funcionalidades imediatamente após seu anúncio. A mudança busca resolver a frustração dos usuários que frequentemente não tinham acesso a recursos prometidos devido ao método de lançamento gradual da Microsoft. Além disso, os usuários poderão ativar manualmente recursos experimentais através das configurações do Windows. A transição para os novos canais será feita em fases, começando pelos usuários do canal Dev, que serão movidos para o Experimental. A Microsoft também introduziu novas funcionalidades na atualização do Windows, como a possibilidade de pausar atualizações e evitar reinicializações forçadas. Essas mudanças visam não apenas melhorar a experiência do usuário, mas também aumentar a colaboração entre a Microsoft e os testadores, permitindo um feedback mais eficaz.

A Microsoft anunciou que, a partir do final de abril, começará a implementar o suporte a chaves de acesso para autenticação sem senha e resistente a phishing em recursos protegidos pelo Microsoft Entra em dispositivos Windows. A funcionalidade deve estar disponível para o público geral até junho de 2026 e se estenderá a dispositivos Windows não gerenciados. As chaves de acesso permitirão que usuários criem chaves vinculadas ao dispositivo, armazenadas no contêiner do Windows Hello, e autentiquem-se usando métodos como reconhecimento facial, impressão digital ou PIN. Isso visa fortalecer a segurança e reduzir a dependência de senhas em cenários que envolvem dispositivos corporativos, pessoais e compartilhados. A nova funcionalidade estará disponível para organizações que habilitarem o ‘Microsoft Entra ID com chaves de acesso’ nas políticas de métodos de autenticação, desde que as políticas de Acesso Condicional permitam. As chaves de acesso são criptograficamente vinculadas a cada dispositivo e não são transmitidas pela rede, o que dificulta a ação de atacantes em casos de phishing ou malware. Essa atualização surge em um contexto de crescente ataque a contas de SSO do Microsoft Entra, evidenciando a necessidade de medidas de segurança mais robustas.

A Microsoft está implementando melhorias nas atualizações do Windows, oferecendo aos usuários maior controle sobre a instalação de atualizações e reduzindo interrupções causadas por reinicializações frequentes. As mudanças, que estão sendo disponibilizadas para os Windows Insiders, surgem em resposta a feedbacks que destacaram problemas como a interrupção de fluxos de trabalho e a falta de controle sobre o momento das atualizações. Entre as novas funcionalidades, destaca-se a possibilidade de pausar atualizações por até 35 dias, com a opção de escolher uma data específica para isso. Além disso, o menu de energia agora separa as opções de desligamento e reinicialização das ações relacionadas a atualizações, permitindo que os usuários desliguem ou reiniciem seus dispositivos sem que atualizações sejam instaladas. A Microsoft também está tornando mais claro quais drivers estão sendo oferecidos nas atualizações, identificando o tipo de dispositivo diretamente no título da atualização. Por fim, a empresa está consolidando diferentes tipos de atualizações em uma única reinicialização mensal, o que deve diminuir a frequência de reboots necessários. Essas melhorias visam proporcionar uma experiência de usuário mais fluida e menos intrusiva, mantendo a segurança dos dispositivos.

A Microsoft anunciou que os administradores de TI agora podem desinstalar o assistente digital Copilot, impulsionado por inteligência artificial, de dispositivos empresariais através de uma nova configuração de política. Essa funcionalidade se tornou amplamente disponível após o Patch Tuesday de abril de 2026. A política RemoveMicrosoftCopilotApp está disponível como Policy CSP e Group Policy, após a implementação das atualizações de segurança do Windows deste mês em dispositivos gerenciados pelo Microsoft Intune ou System Center Configuration Manager (SCCM). Essa política se aplica apenas a dispositivos Windows 11 25H2 onde o Microsoft 365 Copilot e o Microsoft Copilot estão instalados, e o aplicativo não foi iniciado nos últimos 28 dias. A Microsoft afirmou que essa configuração permite a desinstalação do Copilot de forma não disruptiva, permitindo que os usuários reinstalem o aplicativo se desejarem. Para habilitar a política, os administradores devem acessar o Editor de Política de Grupo. Além disso, a Microsoft interrompeu a instalação automática do aplicativo Microsoft 365 Copilot em dispositivos Windows com clientes de desktop do Microsoft 365, embora não tenha esclarecido os motivos dessa pausa. A empresa também está cancelando planos de lançar outras funcionalidades do Copilot que integrariam o assistente em notificações do sistema e no Explorador de Arquivos.

A Microsoft confirmou que uma atualização recente do navegador Microsoft Edge introduziu um bug que impede usuários do Windows de ingressar em reuniões do Microsoft Teams. O problema, registrado sob o número TM1288497, afeta apenas aqueles que tentam participar de reuniões agendadas ou por meio de links. Em um comunicado, a empresa sugeriu que reiniciar o cliente do Teams poderia ser uma solução temporária. A Microsoft está atualmente analisando dados diagnósticos e monitorando mudanças recentes no serviço para resolver a questão. Embora não tenha divulgado quantos usuários foram afetados ou quais regiões estão envolvidas, a empresa classificou o incidente como um aviso, indicando que o problema tem um escopo ou impacto limitado. Além disso, a Microsoft já havia alertado sobre outro bug introduzido por uma atualização do Edge, que afetava a funcionalidade de colar em chats no cliente desktop do Teams. A empresa também reverteu uma atualização de serviço que impedia alguns usuários de iniciar o cliente do Teams, deixando-os presos na tela de carregamento. A situação destaca a importância de monitorar atualizações de software e suas consequências para a operação de ferramentas essenciais de comunicação.

A Microsoft declarou que o Microsoft Defender, antivírus integrado ao Windows 11, é adequado para proteger a maioria dos usuários contra ciberataques. Em um comunicado oficial, a empresa afirmou que, para muitos usuários, o Defender é suficiente para cobrir os riscos diários sem a necessidade de um software antivírus adicional. No entanto, a Microsoft enfatizou que o Defender deve ter a proteção padrão ativada, além de downloads conscientes de software e atualizações regulares do sistema para funcionar de maneira eficaz. Apesar de sua confiança no Defender, a Microsoft reconhece que a adição de um antivírus de terceiros pode ser benéfica, dependendo do uso do PC e das necessidades específicas do usuário, como gerenciamento de múltiplos dispositivos ou controle parental. O Defender é projetado para proteger contra ameaças como phishing e ransomware, mas a empresa também alertou que antivírus adicionais podem sobrecarregar o sistema. A reputação da Microsoft em segurança cibernética é frequentemente questionada, dado o número de malwares que afetam seus sistemas operacionais. Portanto, a escolha de um antivírus adicional deve ser considerada com cautela.

Mais de 1.300 servidores Microsoft SharePoint estão expostos na internet e ainda não foram corrigidos contra uma vulnerabilidade de spoofing, identificada como CVE-2026-32201. Essa falha afeta as versões SharePoint Enterprise Server 2016, SharePoint Server 2019 e a Subscription Edition. A Microsoft, ao lançar um patch em abril de 2026, destacou que a exploração bem-sucedida da vulnerabilidade permite que atacantes sem privilégios realizem spoofing de rede, aproveitando uma fraqueza na validação de entrada. Embora a Microsoft tenha classificado a vulnerabilidade como um zero-day, ainda não foram divulgadas informações sobre como foi explorada em ataques ou se há ligação com grupos de hackers específicos. A Shadowserver alertou que menos de 200 dos servidores vulneráveis foram corrigidos desde o lançamento do patch. A CISA, agência de cibersegurança dos EUA, incluiu a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas e ordenou que agências federais aplicassem os patches em um prazo de duas semanas, destacando os riscos significativos que essa vulnerabilidade representa para a segurança federal. Além disso, a CISA também alertou sobre outra vulnerabilidade no Windows Task Host que permite a elevação de privilégios, exigindo atenção imediata das agências.

A Microsoft divulgou atualizações de segurança fora do ciclo regular para corrigir uma vulnerabilidade crítica de escalonamento de privilégios no ASP.NET Core, identificada como CVE-2026-40372. Essa falha, encontrada nas APIs criptográficas de Proteção de Dados do ASP.NET Core, permite que atacantes não autenticados obtenham privilégios de sistema em dispositivos afetados ao forjar cookies de autenticação. A vulnerabilidade foi descoberta após relatos de usuários sobre falhas de descriptografia em suas aplicações após a atualização do .NET 10.0.6. A Microsoft alertou que um erro na validação de HMAC pode permitir que um atacante crie cargas úteis que passem nas verificações de autenticidade do DataProtection, possibilitando a descriptografia de dados anteriormente protegidos. Caso um atacante tenha se autenticado como um usuário privilegiado durante a janela vulnerável, ele poderia ter recebido tokens legítimos, que permanecem válidos mesmo após a atualização para a versão 10.0.7, a menos que a chave de proteção de dados seja rotacionada. A empresa recomenda que todos os clientes atualizem o pacote Microsoft.AspNetCore.DataProtection para a versão 10.0.7 o mais rápido possível e reimplantem suas aplicações para corrigir a rotina de validação. Além disso, a Microsoft também abordou uma vulnerabilidade de ‘smuggling’ de requisições HTTP em seu servidor web Kestrel, destacando a importância de manter os sistemas atualizados.

A Microsoft confirmou um problema em seu serviço Universal Print, que impede usuários de criar compartilhamentos de impressoras em determinadas situações. O erro, identificado como UP1287359, ocorre devido a uma alteração no código da API Microsoft Graph, que aumentou a latência de replicação do diretório Entra ID e expôs uma condição de corrida preexistente no fluxo de criação de compartilhamento do Universal Print. Como resultado, usuários podem ver erros intermitentes de “Falha ao Compartilhar Impressora” ao tentar criar compartilhamentos com a opção “Permitir todos os usuários da minha organização” ativada ou ao selecionar usuários ou grupos específicos. A Microsoft está implementando uma correção e forneceu um procedimento de mitigação em 13 etapas para ajudar os usuários afetados a contornar o problema até que a solução definitiva seja aplicada. Embora a empresa não tenha especificado quantos usuários ou quais regiões estão impactados, o incidente foi classificado como crítico, dada a sua relevância para os serviços de impressão em nuvem utilizados por clientes do Microsoft 365.

A Microsoft lançou atualizações fora do ciclo regular para corrigir uma vulnerabilidade crítica no ASP.NET Core, identificada como CVE-2026-40372, que permite a um atacante escalar privilégios. Com uma pontuação CVSS de 9.1, a falha foi descoberta por um pesquisador anônimo e é classificada como importante. A vulnerabilidade resulta de uma verificação inadequada da assinatura criptográfica na biblioteca Microsoft.AspNetCore.DataProtection, que pode permitir que um invasor obtenha privilégios de sistema em aplicações que utilizam versões específicas da biblioteca em sistemas operacionais não-Windows, como Linux e macOS. A Microsoft esclareceu que a exploração bem-sucedida depende de três condições: o uso da versão 10.0.6 da biblioteca, a carga correta da biblioteca em tempo de execução e a execução em um sistema operacional compatível. A atualização para a versão 10.0.7 corrige a falha, mas tokens legítimos emitidos durante a janela de vulnerabilidade permanecem válidos, a menos que a chave de proteção de dados seja rotacionada. A empresa recomenda que os administradores atualizem suas aplicações imediatamente para mitigar riscos de exploração.

A Microsoft está implementando diversas melhorias no File Explorer para usuários do Windows 11 que fazem parte do programa Insider. Entre as atualizações, destacam-se melhorias na velocidade de inicialização e no desempenho do aplicativo. Embora a empresa não tenha detalhado os métodos utilizados para essas melhorias, foi testada uma nova funcionalidade em novembro que pré-carrega o File Explorer em segundo plano, visando otimizar os tempos de lançamento. Essa funcionalidade é opcional e pode ser desativada nas opções de pasta do File Explorer. Além disso, a Microsoft está trabalhando para aumentar a confiabilidade do processo explorer.exe após o fechamento das janelas do File Explorer e corrigir flashes brancos que ocorrem ao abrir o aplicativo em modo escuro. Essas correções são relevantes, pois foram associadas a uma atualização anterior e ainda estão sendo abordadas. Outra novidade é o modo Xbox, que oferece uma interface de jogo em tela cheia, minimizando distrações. As melhorias estão sendo disponibilizadas para Insiders que utilizam as versões mais recentes do Windows 11.

A Microsoft lançou atualizações fora do ciclo regular para corrigir problemas em sistemas Windows Server após a instalação das atualizações de segurança de abril de 2026. Administradores relataram falhas ao instalar a atualização de segurança KB5082063 em dispositivos Windows Server 2025. Além disso, as atualizações cumulativas deste mês estão fazendo com que alguns servidores com funções de controlador de domínio entrem em um loop de reinicialização devido a falhas no Serviço de Subsistema de Segurança Local (LSASS). A Microsoft alertou que esse problema pode ocorrer ao configurar novos controladores de domínio ou em existentes, se o servidor processar solicitações de autenticação muito cedo durante a inicialização. Para resolver esses problemas, foram disponibilizadas atualizações de emergência para várias versões do Windows Server, incluindo a KB5091157 para o Windows Server 2025, que aborda tanto a falha de instalação quanto o problema de reinicialização do controlador de domínio. Além disso, a instalação da atualização KB5082063 pode fazer com que alguns dispositivos sejam iniciados no modo de recuperação do BitLocker, solicitando a chave do BitLocker. A Microsoft também corrigiu um bug que causava atualizações inesperadas para o Windows Server 2025 em dispositivos que executam o Windows Server 2019 e 2022. Essas questões destacam a importância de monitorar e aplicar atualizações de segurança de forma eficaz para evitar interrupções nos serviços.

A Microsoft reverteu uma atualização de serviço que estava impedindo alguns usuários de iniciar o cliente desktop do Microsoft Teams. Os afetados enfrentavam dificuldades ao carregarem a aplicação, recebendo a mensagem de erro “Estamos tendo problemas para carregar sua mensagem. Tente atualizar.” A empresa identificou que as falhas de lançamento eram causadas por um problema transitório na infraestrutura do serviço, que fez com que algumas versões mais antigas do Teams entrassem em um estado não saudável. Após a reversão da atualização problemática, a Microsoft orientou os usuários a fecharem completamente e reiniciarem seus clientes do Teams para garantir que a correção fosse aplicada. Embora a empresa não tenha divulgado quantos usuários foram afetados ou quais regiões, classificou a interrupção como um incidente, indicando um impacto significativo. Este não é o primeiro problema recente com o Teams; no mês passado, a Microsoft já havia resolvido outra falha que afetava o lançamento de versões mais antigas do Outlook Classic. Além disso, a empresa também lançou atualizações de emergência para resolver problemas conhecidos em servidores Windows, que causavam loops de reinicialização e problemas na instalação de atualizações de segurança.