Microsoft corrige 165 falhas no Patch Tuesday de abril, com zero-day do SharePoint já em exploração ativa

Maior volume de correções do ano exige atenção imediata das equipes de segurança

A Microsoft encerrou o ciclo de atualizações de abril de 2026 com um dos maiores pacotes do ano: 165 vulnerabilidades corrigidas em uma única janela do Patch Tuesday, distribuídas entre oito falhas críticas, mais de 150 classificadas como importantes e outras de menor severidade. O volume expressivo seria motivo suficiente para atenção redobrada das equipes de segurança corporativa — mas dois CVEs em especial elevaram o grau de urgência ao nível máximo.

SharePoint zero-day já atingia sistemas reais

O destaque mais crítico do pacote é o CVE-2026-32201, uma vulnerabilidade de falsificação (spoofing) que afeta o Microsoft SharePoint Server — incluindo as versões 2016, 2019 e a Subscription Edition. Com pontuação CVSS de 6,5, a falha resulta de validação inadequada de entrada, permitindo que um atacante remoto não autenticado manipule a apresentação de informações na plataforma e induza usuários a interagir com conteúdo malicioso. O fator que transforma essa CVE em emergência operacional é o fato de ela já estar sendo explorada em ambientes reais no momento da publicação do patch.

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) reagiu rapidamente: o CVE-2026-32201 foi incorporado ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), com prazo de remediação até 28 de abril de 2026 para todas as agências federais civis. O histórico preocupa: o SharePoint já acumula dez falhas catalogadas pela CISA — uma plataforma que, por sua centralidade em ambientes corporativos e governamentais, atrai atenção persistente de agentes maliciosos. Dados levantados por pesquisadores de segurança indicam que mais de 1.300 servidores SharePoint permanecem sem as atualizações aplicadas, representando superfície de ataque ativa.

Defender exposto antes da correção: o caso BlueHammer

O segundo ponto de atenção é o CVE-2026-33825, batizado de BlueHammer pelo pesquisador identificado como "Chaotic Eclipse". Trata-se de uma falha de escalonamento de privilégios no Microsoft Defender, com pontuação CVSS de 7,8 — superior à do zero-day do SharePoint. A vulnerabilidade explora o processo de atualização do Defender por meio de abuso de Volume Shadow Copy: ao usar callbacks de Cloud Files e oplocks para pausar o Defender no momento exato, o exploit consegue manter um snapshot montado e tornar acessíveis os arquivos de registro SAM, SYSTEM e SECURITY. Na prática, um atacante bem-sucedido pode ler o banco de dados SAM, decifrar hashes de senha NTLM, assumir contas de administrador local e abrir shells com nível SYSTEM — tudo isso com alto potencial de evasão de detecção.

O agravante é que o código de exploração foi publicado no GitHub em 3 de abril de 2026, semanas antes do patch estar disponível, após o pesquisador relatar falha de comunicação com a Microsoft durante o processo de divulgação responsável. A janela entre a publicação pública do exploit e a chegada do patch colocou organizações em posição vulnerável durante dias.

CISA expande KEV e pressão regulatória aumenta

O contexto regulatório amplifica a urgência do ciclo. Em um período de apenas 14 dias, a CISA adicionou 13 novas CVEs ao catálogo KEV — entre elas o zero-day do SharePoint e a BlueHammer do Defender. Para organizações sujeitas às diretivas federais norte-americanas, o prazo de remediação não é recomendação: é obrigação. Para o setor privado brasileiro e global, o ritmo acelerado de adições ao KEV serve como termômetro do que está sendo ativamente utilizado por atores de ameaça.

O Patch Tuesday de abril reforça uma realidade que equipes de segurança bem sabem: o volume crescente de CVEs exige não apenas processos de patching estruturados, mas priorização baseada em inteligência de ameaças. Quando uma vulnerabilidade já está sendo explorada e seu código está circulando publicamente, cada hora sem o patch aplicado é uma janela aberta para comprometimento.

Fonte: CISO Advisor — Microsoft corrige 165 falhas, incluindo zero-day do SharePoint. Informações adicionais corroboradas por The Hacker News, SecurityWeek e Tenable.