Tecnologia

A Microsoft corrigiu 570 falhas de segurança do Windows num mês. A IA encontrou a maioria

Adrian Kessler

A maior atualização de segurança que a Microsoft alguma vez lançou é também a mais invulgar, porque o que a tornou tão grande é a mesma ferramenta que os defensores devem usar para se adiantarem aos atacantes. A Patch Tuesday deste mês corrigiu 570 vulnerabilidades de segurança no Windows e produtos relacionados — um número que supera qualquer lançamento mensal anterior por uma margem significativa. A Microsoft atribuiu o aumento a ferramentas de descoberta de vulnerabilidades assistidas por IA que têm analisado o seu código desde o início de 2025.

A consequência prática dessa análise acumulou-se rapidamente. Nos primeiros sete meses de 2026, a Microsoft corrigiu 1.308 vulnerabilidades — quase o dobro das cerca de 650 que resolveu no mesmo período do ano passado. Tom Gallagher, vice-presidente de engenharia da Microsoft, avisou em maio que os clientes deviam esperar atualizações mensais maiores à medida que as ferramentas de IA continuassem a encontrar problemas. O número de julho confirmou a previsão.

Nem todas as 570 vulnerabilidades apresentam o mesmo risco, mas três qualificam-se como zero-days: falhas que eram conhecidas antes de existir uma correção. Duas dessas três estão já a ser exploradas por atacantes. A CVE-2026-56164 é uma falha de elevação de privilégios no SharePoint Server, que a Agência de Segurança Cibernética e de Infraestruturas dos EUA tinha sinalizado como estando sob exploração ativa antes de a Microsoft lançar a correção. A CVE-2026-56155 é uma elevação de privilégios semelhante nos Serviços de Federação do Active Directory. A terceira zero-day foi divulgada publicamente, mas ainda não está a ser ativamente explorada.

Vinte e seis das 570 vulnerabilidades têm pontuações CVSS base acima de 9,0 numa escala de gravidade de 10 pontos, e 13 dessas situam-se nos 9,8. Uma destaca-se pelo nome: a CVE-2026-48561 é uma falha de execução remota de código no Microsoft Copilot que obteve 9,6, o que significa que um atacante remoto pode potencialmente executar código arbitrário num sistema afetado sem interação do utilizador. A Microsoft descreve a explorabilidade como “mais provável”.

A ressalva na história da descoberta assistida por IA é que encontrar falhas mais depressa não significa corrigi-las mais depressa ou de forma mais segura. Uma atualização mensal deste tamanho acarreta o seu próprio risco: pacotes de correção maiores exigem mais tempo de teste, aumentam a probabilidade de regressões de compatibilidade e requerem mais recursos de TI para serem implementados em ambientes empresariais. As organizações que automatizaram a implementação das suas correções com base num ritmo mensal previsível estão agora a gerir uma carga consideravelmente mais pesada.

A liderança do Windows na Microsoft indicou que a tendência não deverá inverter-se. À medida que as ferramentas de análise por IA melhoram e são aplicadas a camadas mais antigas do código, espera-se que o número de vulnerabilidades legadas recentemente descobertas se mantenha elevado num futuro previsível. O histórico de atualizações de 2026 sugere que a própria empresa antecipou isto: tem vindo a expandir gradualmente a revisão de código assistida por IA desde o final de 2024, bem antes da aceleração pública nos números de correções.

A atualização de julho de 2026 está disponível através do Windows Update. Para ambientes empresariais, a Microsoft priorizou as duas zero-days ativamente exploradas e a RCE do Copilot como as correções mais urgentes. As organizações com implementações não corrigidas do SharePoint ou dos Serviços de Federação do AD devem tratar essas como atualizações prioritárias, independentemente do seu calendário normal de patch cycle.

Etiquetas: , , , , ,

Discussão

Existem 0 comentários.