Menu de conteúdo Fechar

Relatórios de vulnerabilidades

Exploits e vulnerabilidades no primeiro trimestre de 2026

Relatórios de vulnerabilidades

minutos de leitura

Sumário

Autores

No primeiro trimestre de 2026, o arsenal de exploits utilizado por invasores em ataques contra sistemas de usuários foi novamente ampliado, incluindo agora vetores para a plataforma Microsoft Office e para os sistemas operacionais Windows e Linux.

Neste relatório, analisamos as estatísticas de vulnerabilidades e exploits publicados, bem como vulnerabilidades conhecidas exploradas em conjunto com os frameworks C2 mais populares no primeiro trimestre de 2026.

Estatísticas de vulnerabilidades registradas

Esta seção apresenta os dados de vulnerabilidades registradas. As informações foram extraídas do portal cve.org.

Analisamos o volume de CVEs registradas mensalmente desde janeiro de 2022. O volume total de vulnerabilidades continua em ascensão. Conforme indicado por reportagens recentes, o emprego de agentes de IA na descoberta de falhas de segurança tende a sustentar essa trajetória de crescimento.

Volume mensal de vulnerabilidades publicadas, de 2022 a 2026 (download)

Em seguida, examinamos o quantitativo de novas vulnerabilidades críticas (CVSS > 8,9) no mesmo período.

Volume mensal de vulnerabilidades críticas publicadas, de 2022 a 2026 (download)

O gráfico indica uma leve redução no número de vulnerabilidades críticas em comparação aos anos anteriores; contudo, a tendência de alta permanece clara. No momento, atribuímos esse fenômeno à divulgação de diversas vulnerabilidades graves em frameworks web no fim do ano anterior. Essa alta ocorre em um cenário de incidentes de grande repercussão, como o React2Shell, a descoberta de frameworks de exploração em plataformas móveis e a identificação de novas falhas durante a correção de vulnerabilidades previamente detectadas. Poderemos validar essa hipótese no próximo trimestre. Se correta, o segundo trimestre deverá registrar uma queda expressiva, semelhante à observada no ano anterior.

Estatísticas de exploração de vulnerabilidades

Esta seção apresenta estatísticas sobre o uso de exploits no primeiro trimestre de 2026. Os dados foram obtidos a partir de fontes abertas e de nossa telemetria.

Exploração de vulnerabilidades em Windows e Linux

No primeiro trimestre de 2026, o arsenal dos invasores incorporou exploits voltados a vulnerabilidades recém-registradas. Primeiro, analisamos a lista de vulnerabilidades “consagradas”, que consistentemente correspondem à maior parcela das detecções:

  • CVE-2018-0802 — vulnerabilidade de execução remota de código no componente Equation Editor;
  • CVE-2017-11882 — outra vulnerabilidade de execução remota de código, também no Equation Editor;
  • CVE-2017-0199 — vulnerabilidade no Microsoft Office e no WordPad que permite ao invasor assumir o controle do sistema;
  • CVE-2023-38831 — vulnerabilidade decorrente do processamento inadequado de objetos contidos em arquivos compactados;
  • CVE-2025-6218 — vulnerabilidade que permite a especificação de um caminho relativo e a descompactação de arquivos em diretórios arbitrários, o que pode resultar na execução de comandos maliciosos;
  • CVE-2025-8088 — vulnerabilidade que contorna o controle do diretório de descompactação por meio do mecanismo NTFS Streams.

Dentre as novidades, identificamos exploits para a plataforma Microsoft Office e para componentes do sistema operacional Windows. Cabe destacar que as novas vulnerabilidades exploram falhas lógicas emergentes da interação entre múltiplos sistemas, dificultando tecnicamente sua localização em um arquivo ou biblioteca específica. A lista dessas vulnerabilidades segue abaixo:

  • CVE-2026-21509 e CVE-2026-21514 — vulnerabilidades de bypass de mecanismos de proteção: mesmo com o Modo Protegido ativado, um arquivo especialmente elaborado pode executar código malicioso sem o consentimento do usuário. Os comandos maliciosos no sistema da vítima são executados com os privilégios do usuário que abriu o arquivo.
  • CVE-2026-21513 — vulnerabilidade no motor MSHTML do Internet Explorer, responsável por abrir recursos web e renderizar código HTML. A vulnerabilidade consiste no contorno das regras que bloqueiam a execução de arquivos provenientes de fontes de rede não confiáveis. Vale notar que o vetor de entrega dessa vulnerabilidade era um arquivo .lnk.

Essas três vulnerabilidades foram utilizadas em conjunto, formando uma cadeia de ataque única contra sistemas Windows de usuários. Embora essa combinação seja tecnicamente interessante, acreditamos que a adoção em massa dessa cadeia completa tenda a diminuir devido à sua instabilidade operacional. Acreditamos que essas vulnerabilidades passarão a ser exploradas individualmente como vetores de acesso inicial em campanhas de phishing.

A seguir, apresentamos a dinâmica de detecção de exploits em sistemas Windows de usuários a partir do primeiro trimestre de 2025.

Evolução do número de usuários Windows afetados por exploits, T1 2025–T4 2026. Base 100%: usuários afetados no T1 2025 (download)

As vulnerabilidades listadas podem ser exploradas para obter acesso inicial ao sistema vulnerável e para escalonamento de privilégios. Isso reforça a importância da aplicação oportuna de atualizações de segurança nos softwares correspondentes.

Em dispositivos Linux, os exploits detectados com maior frequência foram direcionados às seguintes vulnerabilidades:

  • CVE-2022-0847 — vulnerabilidade conhecida como Dirty Pipe, que permite escalonamento de privilégios e sequestro de aplicações em execução;
  • CVE-2019-13272 — vulnerabilidade de tratamento incorreto de herança de privilégios, explorável para escalonamento de privilégios;
  • CVE-2021-22555 — vulnerabilidade de heap-based buffer overflow no subsistema Netfilter do kernel;
  • CVE-2023-32233 — vulnerabilidade no subsistema Netfilter que permite criar condições de Use-After-Free (UAF) e elevar privilégios mediante o processamento inadequado de requisições de rede.

Evolução do número de usuários Linux afetados por exploits, T1 2025–T1 2026. Base 100%: usuários afetados no T1 2025 (download)

No primeiro trimestre de 2026, observamos uma redução no volume de exploits detectados; contudo, a proporção de detecções em relação ao mesmo período do ano anterior aumentou. A aplicação de patches também é essencial para o sistema operacional Linux.

Exploits publicados mais comuns

A distribuição dos exploits publicados por tipo de software no primeiro trimestre de 2026 renova o conjunto de categorias, com recorrência de exploits para sistemas operacionais e para o Microsoft Office.

Distribuição de exploits publicados por plataforma, T1 2026 (download)

Exploração de vulnerabilidades em ataques APT

Analisamos quais vulnerabilidades foram exploradas em ataques APT no primeiro trimestre de 2026. O ranking apresentado a seguir incorpora dados de nossa telemetria, pesquisas internas e fontes abertas.

TOP 10 vulnerabilidades exploradas em ataques APT, T1 2026 (download)

No primeiro trimestre de 2026, os invasores continuaram explorando, em ataques APT, vulnerabilidades de alta repercussão registradas no ano anterior. A hipótese que levantamos anteriormente foi confirmada: as vulnerabilidades que afetam aplicações web continuam sendo amplamente exploradas em ataques reais. No entanto, também observamos uma renovação parcial do arsenal dos invasores. Em particular, no primeiro trimestre do ano, campanhas APT exploraram vulnerabilidades recém-descobertas em produtos Microsoft Office, softwares para dispositivos de borda de rede e sistemas de gerenciamento de acesso remoto. Embora as vulnerabilidades mais recentes sejam as mais amplamente exploradas, suas características, em geral, continuam reforçando as tendências já consolidadas quanto às categorias de software vulnerável. Por isso, recomendamos a aplicação dos patches de segurança disponibilizados pelos fornecedores.

Frameworks de C2

Nesta seção, analisamos os frameworks de C2 mais utilizados pelos invasores e as vulnerabilidades cujos exploits interagiram com agentes de C2 em ataques APT.

O gráfico a seguir mostra a frequência de casos conhecidos de uso de frameworks C2 em ataques a usuários no primeiro trimestre de 2026, conforme fontes abertas.

TOP 10 frameworks C2 utilizados por APT para comprometer sistemas de usuários, T1 2026 (download)

O Metasploit retornou ao primeiro lugar entre os frameworks C2 mais utilizados, deslocando o Sliver, que agora divide a segunda posição com o Havoc. Na sequência, aparecem o Covenant e o Mythic, este último mais popular anteriormente. Analisamos fontes abertas e amostras de agentes C2 maliciosos contendo exploits, identificando que os ataques APT com os frameworks C2 mencionados acima exploraram as seguintes vulnerabilidades:

  • CVE-2023-46604 — vulnerabilidade de desserialização insegura que permite a execução de código arbitrário no contexto do processo do servidor, quando o serviço Apache ActiveMQ está em execução;
  • CVE-2024-12356 e CVE-2026-1731 — vulnerabilidades de injeção de comandos no software BeyondTrust que permitem ao invasor enviar comandos maliciosos mesmo sem autenticação no sistema;
  • CVE-2023-36884 — vulnerabilidade no componente Windows Search que permite executar comandos no sistema contornando os mecanismos de proteção integrados aos aplicativos Microsoft Office;
  • CVE-2025-53770 — vulnerabilidade de desserialização insegura no Microsoft SharePoint, que permite executar comandos no servidor sem autenticação;
  • CVE-2025-8088 e CVE-2025-6218 — vulnerabilidades similares de path traversal que permitem descompactar arquivos de um archive em um caminho predefinido, sem que o utilitário de compressão exiba qualquer mensagem ao usuário.

A natureza das vulnerabilidades descritas indica que foram exploradas para obter acesso inicial ao sistema. Vale destacar que a maior parte das vulnerabilidades visa contornar mecanismos de autenticação. Isso provavelmente se deve ao fato de que os agentes C2 são detectados com eficácia, levando os invasores a buscar reduzir a probabilidade de detecção por meio de exploits de bypass.

Vulnerabilidades de destaque

Esta seção apresenta as vulnerabilidades mais relevantes publicadas no primeiro trimestre de 2026 e que possuem descrição publicamente disponível.

CVE-2026-21519 — vulnerabilidade no Desktop Window Manager (DWM)

Esta vulnerabilidade tem como base um problema de Type Confusion. Ao tentar acessar um recurso no subsistema Desktop Window Manager, o invasor pode elevar seus privilégios. A exploração desta vulnerabilidade requer autenticação prévia no sistema.

Vale destacar que o subsistema DWM já é alvo de atenção dos invasores há bastante tempo. O vetor de ataque predominante é, tradicionalmente, a manipulação do conjunto de funções NtDComposition*.

RegPwn (CVE-2026-21533) — vulnerabilidade de controle de acesso inadequado a configurações do sistema

A CVE-2026-21533 é, em essência, uma vulnerabilidade lógica que permite o escalonamento de privilégios do usuário. Ela consiste no tratamento inadequado de privilégios nos componentes dos Serviços de Área de Trabalho Remota (RDS). Se o invasor modificar os parâmetros do serviço no registro, substituindo a configuração por uma chave própria, poderá elevar os privilégios ao nível SYSTEM. Esta vulnerabilidade pode se consolidar por longo prazo no arsenal dos invasores como mecanismo de persistência e obtenção de privilégios elevados.

CVE-2026-21514 — vulnerabilidade no Microsoft Office

A vulnerabilidade foi identificada em ambiente real em ataques a sistemas de usuários. Entre suas particularidades, a ativação desta vulnerabilidade utiliza um arquivo .lnk. A CVE-2026-21514 também é uma vulnerabilidade lógica que permite contornar as restrições da tecnologia OLE à execução de código malicioso e ao envio de requisições de autenticação pelo protocolo NetNTLM ao processar entradas não confiáveis.

Clawdbot (CVE-2026-25253) — vulnerabilidade no OpenClaw

A vulnerabilidade no agente de IA expõe credenciais (tokens de autenticação) em requisições pelo protocolo WebSocket. Ela pode levar ao comprometimento da infraestrutura onde o agente está instalado: pesquisadores confirmaram a possibilidade de acesso a dados locais do sistema e de execução de comandos com privilégios elevados. O perigo da CVE-2026-25253 reside também no fato de que sua exploração gerou múltiplos cenários de ataque distintos, incluindo, por exemplo, o uso de injeções de prompt e da técnica ClickFix para instalar um ladrão de dados (stealer) em sistemas vulneráveis.

CVE-2026-34070 — vulnerabilidade no framework LangChain

O LangChain é um framework de código aberto para o desenvolvimento de aplicações com uso de grandes modelos de linguagem (LLM). A vulnerabilidade de path traversal permitia que invasores acessassem arquivos arbitrários na infraestrutura onde o framework é utilizado. A essência da CVE-2026-34070 está no fato de que determinadas funções em langchain_core/prompts/loading.py processavam arquivos de configuração de forma insegura. Isso poderia levar ao processamento de arquivos contendo dados maliciosos. Esses dados podiam ser utilizados para executar comandos e expor informações críticas do sistema e outros arquivos sensíveis.

CVE-2026-22812 — vulnerabilidade no OpenCode

A CVE-2026-22812 é mais uma vulnerabilidade em software de geração de código assistida por IA. O agente OpenCode, por padrão, expunha localmente o acesso à execução de aplicações permitidas por meio de um servidor que operava via HTTP sem exigir autenticação. Dessa forma, invasores podiam executar comandos maliciosos no dispositivo vulnerável com os privilégios do usuário atual.

Conclusões e recomendações

Observamos que, no primeiro trimestre de 2026, o registro de vulnerabilidades apresenta crescimento progressivo, fomentado pela disseminação de ferramentas de IA voltadas à identificação de problemas de segurança em diferentes tipos de software. Essa tendência provavelmente resultará não só no aumento do número de vulnerabilidades registradas, mas também no crescimento dos ataques com uso de exploits, reforçando a importância crítica da aplicação oportuna de atualizações de segurança. Além disso, é necessário dedicar atenção à priorização de vulnerabilidades e adotar tecnologias de proteção eficazes para a mitigação dos riscos associados à possível exploração dessas vulnerabilidades.

Para a identificação ágil de ameaças relacionadas à exploração de vulnerabilidades e a prevenção de sua propagação, é necessário utilizar uma solução de proteção confiável. As características essenciais de tal solução são o monitoramento contínuo do estado da infraestrutura, a proteção proativa e a priorização de vulnerabilidades com base em sua relevância. Esses mecanismos estão implementados na solução Kaspersky Next, que também garante a segurança dos endpoints e a proteção contra ataques cibernéticos de qualquer complexidade.

Exploits e vulnerabilidades no primeiro trimestre de 2026

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

 

Sumário

Dos mesmos autores

Na mesma categoria

    • Últimas Publicações
    Relatórios

    GoPix, o trojan bancário que vive na memória

    Os especialistas do Kaspersky GReAT descrevem o GoPix, trojan bancário brasileiro sem precedentes, que usa implantes apenas em memória, man-in-the-middle via arquivos Proxy AutoConfig (PAC) e malvertising via Google Ads.

    BeatBanker: um trojan de dupla função para Android

    Pesquisadores da Kaspersky identificaram um novo trojan para Android, o BeatBanker, que tem como alvo o Brasil, se disfarça de aplicativos do governo e da Google Play Store e consegue minerar criptomoedas e roubar dados bancários.

    Categorias de ameaças

    Categorias de ameaças

    Categorias

    Categorias

    Outras secções

    © 2026 AO Kaspersky Lab.
    Todos os direitos reservados.