A Microsoft reforçou hoje a urgência de aplicar o Patch Tuesday de março, que corrige 84 vulnerabilidades, incluindo duas zero-days divulgadas publicamente. Entre as falhas, destaca-se uma vulnerabilidade crítica de execução remota de código em serviço de precificação na nuvem.
O boletim detalha a vulnerabilidade CVE-2026-21536, com pontuação de 9.8, que afeta o Microsoft Devices Pricing Program e poderia permitir que atacantes obtivessem as permissões associadas à identidade gerenciada do servidor MCP, caso explorada. A partir desse acesso, seria possível manipular recursos na nuvem dentro do escopo da identidade comprometida, abrindo caminho para movimentação lateral e possíveis compromissos de dados sensíveis.
Além disso, a atualização corrige falhas de escalonamento de privilégio e divulgação de informações em componentes amplamente utilizados, como Windows e Excel, elevando o risco para ambientes corporativos que atrasarem a aplicação dos patches. Embora a Microsoft indique que a vulnerabilidade crítica foi completamente mitigada em seu backend, organizações que integram com esses serviços ainda precisam garantir que demais correções sejam aplicadas em seus endpoints e servidores.
Equipes de segurança devem priorizar a implantação deste ciclo de atualizações em sistemas mais expostos, tais como servidores de aplicação, estações com acesso administrativo e recursos integrados à nuvem. Recomenda-se ainda validar, via varreduras de vulnerabilidade e inventário automatizado, se todos os ativos críticos estão em conformidade com o patch level mais recente, além de monitorar logs e alertas relacionados a tentativas de exploração desses componentes.
Sistemas Afetados
- Servidores Windows integrados ao Microsoft Devices Pricing Program
- Estações e servidores Windows com Office instalado
Fonte: The Hacker News
Ler fonte original