Cibersegurança

A Microsoft corrigiu 570 falhas de segurança do Windows em um mês. A IA encontrou a maioria

Adrian Kessler

A maior atualização de segurança que a Microsoft já lançou também é a mais incomum, porque o que a tornou tão grande é a mesma ferramenta que os defensores devem usar para se adiantar aos atacantes. A Patch Tuesday deste mês corrigiu 570 vulnerabilidades de segurança no Windows e produtos relacionados — um número que supera em muito qualquer lançamento mensal anterior. A Microsoft atribuiu o aumento a ferramentas de descoberta de vulnerabilidades assistidas por IA que vêm escaneando seu código-fonte desde o início de 2025.

A consequência prática desse escaneamento se acumulou rapidamente. Nos primeiros sete meses de 2026, a Microsoft corrigiu 1.308 vulnerabilidades — quase o dobro das aproximadamente 650 que abordou no mesmo período do ano passado. Tom Gallagher, vice-presidente de engenharia da Microsoft, alertou em maio que os clientes deveriam esperar atualizações mensais maiores à medida que as ferramentas de IA continuassem a encontrar problemas. O número de julho confirmou a previsão.

Nem todas as 570 vulnerabilidades apresentam o mesmo risco, mas três se qualificam como zero-days: falhas conhecidas antes da existência de uma correção. Duas dessas três já estão sendo exploradas por atacantes. CVE-2026-56164 é uma falha de elevação de privilégio no SharePoint Server, que a Agência de Segurança Cibernética e de Infraestrutura dos EUA havia sinalizado como sob exploração ativa antes da correção da Microsoft chegar. CVE-2026-56155 é uma elevação de privilégio semelhante no Active Directory Federation Services. O terceiro zero-day foi divulgado publicamente, mas ainda não está sendo explorado ativamente.

Vinte e seis das 570 vulnerabilidades têm pontuações base CVSS acima de 9,0 em uma escala de gravidade de 10 pontos, e 13 delas estão em 9,8. Uma se destaca pelo nome: CVE-2026-48561 é uma falha de execução remota de código no Microsoft Copilot que obteve 9,6, o que significa que um atacante remoto poderia potencialmente executar código arbitrário em um sistema afetado sem interação do usuário. A Microsoft descreve a explorabilidade como “mais provável”.

A ressalva na história da descoberta assistida por IA é que encontrar bugs mais rápido não significa corrigi-los mais rápido ou com mais segurança. Uma atualização mensal desse tamanho carrega seu próprio risco: pacotes de correção maiores exigem mais tempo de teste, aumentam a chance de regressões de compatibilidade e demandam mais recursos de TI para implantação em ambientes corporativos. Organizações que automatizaram a implantação de patches em torno de um ritmo mensal previsível agora estão gerenciando uma carga consideravelmente mais pesada.

A liderança do Windows na Microsoft indicou que a tendência não deve se reverter. À medida que as ferramentas de escaneamento de IA melhoram e são aplicadas a camadas mais antigas do código-fonte, espera-se que o número de vulnerabilidades legadas recém-descobertas permaneça elevado no futuro previsível. O histórico de atualizações para 2026 sugere que a própria empresa antecipou isso: ela vem expandindo gradualmente a revisão de código assistida por IA desde o final de 2024, bem antes da aceleração pública nas contagens de patches.

A correção de julho de 2026 está disponível via Windows Update. Para ambientes corporativos, a Microsoft priorizou os dois zero-days explorados ativamente e a RCE do Copilot como as correções mais urgentes. Organizações que executam implantações não corrigidas do SharePoint ou do AD Federation Services devem tratar essas como atualizações prioritárias, independentemente do cronograma padrão do ciclo de patches.

Tags: , , , , ,

Discussão

Há 0 comentários.