Microsoft corrige 120 vulnerabilidades na atualização de maio de 2026
Em 12 de maio, a Microsoft lançou correções para 120 vulnerabilidades, notavelmente sem divulgar nenhum zero-day. No entanto, os defensores das empresas ainda precisam lidar com uma ampla gama de riscos, incluindo aqueles que afetam o manuseio de documentos, infraestrutura de identidade, plataformas de colaboração, ambientes de virtualização e redes padrão do Windows.
Principais destaques do pacote de segurança de maio
A atualização do Patch Tuesday de maio de 2026 incluiu 17 vulnerabilidades críticas, sendo 14 delas falhas de execução remota de código (RCE). As organizações devem agir rapidamente para avaliar e implementar essas atualizações em seus sistemas. Os gerentes de patches enfrentam um desafio crítico: determinar quais sistemas de negócios podem receber as atualizações da primeira onda sem causar interrupções em outras áreas.
Complexidade no patching corporativo
As equipes de patching corporativo enfrentam um "problema de ordem de patches" multifacetado, já que as atualizações deste mês abrangem vários sistemas, incluindo:
- Endpoints do Office
- Controladores de domínio
- Sistemas Windows dependentes de DNS
- Implantações do SharePoint
- Hosts Hyper-V
Cada um desses sistemas geralmente é gerenciado por equipes diferentes, com cronogramas de patching distintos, procedimentos de rollback e janelas de manutenção variadas. Mesmo quando uma única atualização da Microsoft cobre todas essas áreas, coordenar as atualizações continua sendo um desafio operacional.
Comparação com ciclos de patches recentes
Nos meses anteriores:
- Fevereiro abordou seis zero-days ativos.
- Abril envolveu 167 vulnerabilidades, incluindo dois zero-days.
Embora maio de 2026 não apresente divulgações de zero-days, isso não reduz a carga de trabalho para os defensores. Cada atualização recente exigiu trade-offs entre velocidade de implementação emergencial, risco de interrupções e tempo de verificação para sistemas críticos, adicionando ao fardo cumulativo de priorização.
Detalhamento das vulnerabilidades em maio de 2026
A versão de maio da Microsoft incluiu o seguinte:
- 31 vulnerabilidades de execução remota de código
- 61 problemas de elevação de privilégio (EoP)
- 14 falhas de divulgação de informações
- 8 vulnerabilidades de negação de serviço (DoS)
- 6 problemas de bypass de recursos de segurança
- 13 vulnerabilidades de spoofing
Entre essas, as falhas de RCE permanecem uma prioridade, pois permitem que os atacantes executem código arbitrário, enquanto as vulnerabilidades de EoP adicionam complexidade operacional ao afetar permissões, limites de administradores e transições de usuário para sistema. As equipes de segurança devem validar e corrigir essas vulnerabilidades antes de passar do teste piloto para a implantação em larga escala.
Sem zero-days em maio: uma ocorrência rara
Maio de 2026 marca a primeira atualização mensal de segurança da Microsoft em quase dois anos sem nenhuma vulnerabilidade zero-day explorada ou publicamente divulgada. Nos últimos 22 meses, a Microsoft teve uma média de 3,5 zero-days por mês, tornando este mês mais tranquilo, mas não necessariamente mais leve em termos de esforços de remediação.
Vulnerabilidades no Office: uma preocupação persistente
Apesar da ausência de zero-days, as vulnerabilidades relacionadas ao Office continuam sendo um foco importante. A Microsoft corrigiu falhas no Office, Word e Excel que poderiam levar a RCE, algumas delas vinculadas a riscos do Painel de Visualização. Como os funcionários frequentemente visualizam documentos como faturas, currículos e arquivos compartilhados, essas vulnerabilidades exigem um esforço de patching mais amplo além das atualizações individuais de aplicativos.
Além disso, a atualização de maio inclui a CVE-2026-35421, uma vulnerabilidade no Paint onde abrir um Enhanced Metafile malicioso poderia permitir a execução de código. As equipes de endpoint também devem priorizar correções como CVE-2026-40367, CVE-2026-40366 e CVE-2026-40364, que afetam laptops, estações de trabalho compartilhadas e desktops virtuais.
Riscos em nível de infraestrutura
Várias vulnerabilidades na atualização de maio representam riscos significativos para a infraestrutura corporativa:
- CVE-2026-41096: Uma vulnerabilidade de estouro de buffer baseado em heap no cliente DNS do Windows com uma pontuação CVSS de 9.8. Essa falha de RCE pode ser explorada remotamente sem autenticação ou interação do usuário, impactando uma ampla gama de sistemas Windows.
- CVE-2026-41089: Um problema crítico no Windows Netlogon com uma pontuação CVSS de 9.8, permitindo que atacantes não autenticados executem código remotamente nos controladores de domínio. Dada a possibilidade de falhas de autenticação, corrigir controladores de domínio exige cautela extra para evitar a interrupção do acesso a serviços críticos para os negócios.
Preocupações com SharePoint e Hyper-V
As vulnerabilidades do SharePoint continuam sendo uma preocupação para as equipes de segurança corporativa. CVE-2026-40365 expõe os servidores do SharePoint a ataques de RCE, embora exija privilégios de Proprietário do Site. Embora isso reduza o grupo de atacantes, os defensores devem avaliar a exposição de usuários privilegiados, a publicação externa e a proliferação da colaboração para mitigar os riscos.
Em ambientes virtualizados, CVE-2026-40402 no Hyper-V apresenta um risco grave, permitindo que atacantes escapem de uma máquina virtual convidada para o ambiente do host e obtenham privilégios de SYSTEM. Esse tipo de falha de limite impacta várias cargas de trabalho simultaneamente, exigindo atenção imediata das equipes de virtualização.
Impactos operacionais da atualização de maio de 2026
A atualização de maio pressiona as equipes que gerenciam endpoints do Office, sistemas Windows relacionados ao DNS, controladores de domínio, servidores do SharePoint e hosts Hyper-V a trabalharem em uma janela de manutenção unificada. Apesar da ausência de zero-days, o escopo e a complexidade das vulnerabilidades deste mês tornam a sua resolução operacionalmente desafiadora para as empresas.