Patch Tuesday de fevereiro é um pesadelo: 6 zero-days, hackers russos e até o Bloco de Notas virou arma
Microsoft corrigiu 6 zero-days sendo explorados agora, hackers russos do APT28 levaram 3 dias pra armar um exploit, e o Bloco de Notas pode executar código malicioso. Atualize AGORA.
Parem tudo. Rodem o Windows Update. Agora. Antes de ler o resto desse texto.
Não é exagero. O Patch Tuesday de fevereiro de 2026, que a Microsoft largou ontem (10 de fevereiro), tem 6 vulnerabilidades zero-day sendo exploradas AGORA por hackers no mundo real. Não é bug teórico. Não é prova de conceito de laboratório. Tem gente invadindo PCs com essas falhas enquanto você lê isso.
E tem mais: hackers russos do grupo APT28 (Fancy Bear) - sim, os mesmos ligados à inteligência militar russa - já armaram um exploit pra uma sétima vulnerabilidade em 3 dias depois que a Microsoft lançou o patch de emergência. Três. Dias.
Os números que deviam tirar seu sono
O pacote de fevereiro corrige 54 vulnerabilidades no total (até 59 dependendo de como você conta as do Edge/Chromium). Desses, 5 são classificados como Críticos e 6 são zero-days ativamente explorados - todos adicionados ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA, que ordenou todas as agências federais americanas a aplicar os patches até 3 de março de 2026.
Pra contexto: em janeiro tivemos 3 zero-days. Em fevereiro de 2025, foram 2. Pesquisadores do Zero Day Initiative chamaram o número deste mês de “extraordinariamente alto”. O CRN usou exatamente essa expressão.
A tabela que importa: os 7 zero-days
| CVE | Componente | Tipo | CVSS | Descoberto por |
|---|---|---|---|---|
| CVE-2026-21510 | Windows Shell | Bypass do SmartScreen | 8.8 | Microsoft + Google |
| CVE-2026-21513 | MSHTML (IE) | Bypass de segurança | 8.8 | Microsoft + Google |
| CVE-2026-21514 | Microsoft Word | Bypass do OLE | 7.8 | Google + Anônimo |
| CVE-2026-21519 | Desktop Window Manager | Elevação de privilégio | 7.8 | Microsoft |
| CVE-2026-21533 | Remote Desktop Services | Elevação de privilégio | 7.8 | CrowdStrike |
| CVE-2026-21525 | Connection Manager | Negação de serviço | 6.2 | ACROS Security |
| CVE-2026-21509 | Office (RTF) | Bypass do OLE | 7.8 | Patch emergencial jan/26 |
O ataque: como funciona na prática
O fluxo de invasão é assustadoramente simples. A maioria dessas falhas é do tipo Bypass de Recurso de Segurança - ou seja, elas não invadem seu PC diretamente, elas DESLIGAM as proteções que impediriam uma invasão.
Sabe quando você clica num link estranho e o Windows SmartScreen aparece com aquela tela de aviso? A CVE-2026-21510 desativa isso. Um clique num arquivo .lnk malicioso e o SmartScreen simplesmente não aparece. Sem aviso. Sem confirmação. O código do atacante roda direto.
A CVE-2026-21514 faz o mesmo com o Microsoft Word. O atacante te manda um .doc, você abre, e as proteções de OLE (Object Linking and Embedding) que bloqueiam macros e objetos perigosos simplesmente são ignoradas. Código arbitrário executa com seus privilégios de usuário.
E a CVE-2026-21519 é a cereja do bolo. É uma falha de type confusion no Desktop Window Manager - o serviço que renderiza a interface gráfica do Windows. Um atacante com acesso local (que ele acabou de ganhar via Word ou SmartScreen) eleva pra privilégios de SYSTEM. Controle total. Game over. E esse é o segundo mês consecutivo que o DWM é explorado - janeiro também teve uma falha no mesmo componente. Os atacantes estão mirando nele sistematicamente.
APT28 armou um exploit em 3 dias. TRÊS.
Essa é a parte que deveria assustar todo mundo. A CVE-2026-21509 afeta como o Office processa arquivos RTF. A Microsoft publicou um patch de emergência fora do ciclo normal em 26 de janeiro. No dia 29 de janeiro - 72 horas depois - o APT28 (Fancy Bear), grupo ligado ao GRU (inteligência militar russa), já estava usando a falha contra alvos governamentais na Ucrânia, Eslováquia e Romênia.
A operação foi batizada de “Neusploit”. Os hackers mandavam documentos RTF e Word com engenharia social customizada, com geofencing pra entregar os payloads apenas nas regiões-alvo. O malware instalado: MiniDoor (rouba emails) e Covenant Grunt (implante de comando e controle).
Traduzindo: hackers de estado-nação monitoram os patches em tempo real, fazem engenharia reversa em dias e saem atacando antes que a maioria das pessoas sequer abre o Windows Update. Se você não atualizou desde janeiro, seu PC está vulnerável a espionagem russa. Isso não é teoria da conspiração. É o relatório da Zscaler ThreatLabz.
O Bloco de Notas virou vetor de ataque (sim, o Notepad)
Como se 7 zero-days não bastassem, esse Patch Tuesday também corrige a CVE-2026-20841: uma vulnerabilidade de execução remota de código no Bloco de Notas do Windows. CVSS 8.8.
A versão moderna do Notepad (a da Microsoft Store) ganhou suporte a renderização de Markdown. Um atacante cria um arquivo .md malicioso com links que exploram o tratamento de protocolos não-confiáveis, puxa conteúdo remoto e executa código na sua máquina. O editor de texto mais básico do Windows virou uma porta de entrada.
Se você é desenvolvedor e abre .md no Notepad, atualize antes de abrir qualquer arquivo.
O que mais foi corrigido
Fora os zero-days, tem coisa pesada no pacote:
| CVE | Componente | CVSS | Por que importa |
|---|---|---|---|
| CVE-2026-24300 | Azure Front Door | 9.8 | Maior CVSS do mês, sem interação necessária |
| CVE-2026-24302 | Azure Arc | 8.6 | Elevação de privilégio na nuvem |
| CVE-2026-21511 | Microsoft Outlook | 7.5 | Spoofing via preview - nem precisa ABRIR o email |
| CVE-2026-21256 | VS Code / GitHub Copilot | - | RCE em ferramentas de dev - risco de supply chain |
A do Outlook é sinistra: o painel de preview é o vetor de ataque. Você não precisa abrir o email. Basta ele aparecer na preview pra acionar a vulnerabilidade.
Atualize ou aceite as consequências
Sério. Se você é do tipo que desativa o Windows Update porque “consome recursos” ou “atrapalha o ping”, o custo de performance de um patch é irrelevante perto de um ransomware criptografando seu NVMe de 7000 MB/s ou o APT28 lendo seus emails.
O que fazer agora:
- Windows Update: rode agora. Não no final de semana. AGORA.
- Office 365 / standalone: verifique se o Office também atualizou - a falha do Word (CVE-2026-21514) e a do RTF (CVE-2026-21509) exigem atualização separada
- Windows 10 e 11: patches disponíveis pra ambos. Se você está no Windows 7 ou 8, seu sistema está mais aberto que gabinete sem tampa lateral
- Devs: atualizem o VS Code e o GitHub Copilot. CVE-2026-21256 é injeção de comando nas ferramentas que vocês usam o dia inteiro
A CISA deu até 3 de março pros federais. Você deveria se dar até hoje.
Bruno Silva
Entusiasta de hardware e overclocker nas horas vagas
LEIA TAMBEM
O Bitcoin perdeu metade do valor e ninguém sabe explicar por quê. Mentira: todo mundo sabe.
Um post num blog gratuito derrubou a bolsa americana. O autor é um ex-paramédico.
