Se gere servidores Windows numa organização portuguesa, o mês de julho traz-lhe trabalho urgente. A Microsoft corrigiu cerca de 570 vulnerabilidades no Patch Tuesday deste mês — quase o triplo das 206 de junho — e, no meio dessa avalanche, há três falhas de dia zero e duas críticas que não podem esperar pela próxima janela de manutenção. Duas delas já estão a ser exploradas por atacantes.
Em resumo: o Patch Tuesday de julho de 2026 corrige cerca de 570 vulnerabilidades. Há três dias zero — no SharePoint Server (CVE-2026-56164), no Active Directory Federation Services (CVE-2026-56155), ambos já explorados, e no BitLocker (CVE-2026-50661), divulgado publicamente. Duas falhas críticas de execução remota de código no SharePoint (CVE-2026-58644, CVSS 9.8) e no Print Spooler (CVE-2026-58608) exigem prioridade máxima. Para as organizações portuguesas, o foco deve estar no SharePoint on-premises e na infraestrutura de identidade.
Os dois dias zero que já estão a ser explorados
De todas as falhas corrigidas este mês, duas destacam-se por já estarem a ser usadas em ataques reais — e ambas atingem componentes centrais das infraestruturas empresariais.
A CVE-2026-56164 afeta o Microsoft SharePoint Server e permite a elevação de privilégios sem autenticação, através da rede. Curiosamente, a Microsoft classifica-a apenas como severidade “Moderada” (CVSS 5.3), mas isso não deve baixar a guarda: a falha está a ser explorada ativamente (a deteção foi confirmada por investigadores da Mandiant e da Google) e falhas de elevação de privilégios no SharePoint têm um historial de serem encadeadas com falhas de execução de código para tomada total do servidor. Qualquer instalação de SharePoint on-premises deve tratá-la como prioridade máxima, independentemente do rótulo de severidade.
A CVE-2026-56155 é ainda mais sensível em termos de identidade. Atinge o Active Directory Federation Services (AD FS) — o componente que a Microsoft usa para federação de identidade e início de sessão único (SSO) — e está classificada como “Importante” (CVSS 7.8). Também confirmada como explorada ativamente, permite a um atacante já autenticado obter privilégios de administrador. Como o AD FS sustenta a confiança de autenticação em ambientes híbridos (Azure AD/on-premises), uma exploração bem-sucedida pode servir de trampolim para comprometer toda a infraestrutura de identidade da organização.
O terceiro dia zero: BitLocker e o risco dos portáteis perdidos
A CVE-2026-50661 é uma falha de contorno de funcionalidade de segurança no BitLocker, a encriptação de disco do Windows. Foi divulgada publicamente antes de existir correção, mas ainda não há exploração confirmada. O cenário de risco é físico: um atacante com acesso ao dispositivo — um portátil perdido ou roubado, por exemplo — poderia contornar a encriptação e aceder aos dados. Não é explorável remotamente, mas é um lembrete de que a proteção de dados em dispositivos móveis depende de manter o BitLocker atualizado, sobretudo em organizações com trabalho híbrido e equipamentos fora das instalações.
As duas críticas: SharePoint e Print Spooler
Além dos dias zero, há duas vulnerabilidades de execução remota de código classificadas como Críticas que merecem atenção imediata, mesmo não estando ainda a ser exploradas.
A CVE-2026-58644, no SharePoint, é a mais grave do lote com um CVSS de 9.8. Resulta da desserialização de dados não fidedignos e a Microsoft avalia a sua exploração como “mais provável”. Requer que o atacante esteja autenticado com um nível mínimo de proprietário de site, mas a partir daí permite injetar e executar código remotamente no servidor. A CVE-2026-58608, no Windows Print Spooler, resulta de uma condição de corrida e uso de memória após libertação (use-after-free) — o Print Spooler é um velho conhecido dos administradores, repetidamente visado por operadores de ransomware e atores estatais. Foi descoberta pelo reputado investigador Orange Tsai.
As falhas a corrigir primeiro
| CVE | Componente | Impacto | Severidade | Estado |
|---|---|---|---|---|
| CVE-2026-56164 | SharePoint Server | Elevação de privilégios | Moderada | Explorado ativamente |
| CVE-2026-56155 | AD FS | Elevação de privilégios | Importante | Explorado ativamente |
| CVE-2026-50661 | BitLocker | Contorno de segurança | Importante | Divulgado publicamente |
| CVE-2026-58644 | SharePoint | Execução remota de código | Crítica (9.8) | Exploração mais provável |
| CVE-2026-58608 | Print Spooler | Execução remota de código | Crítica | Exploração menos provável |
570 falhas: o retrato do mês
A elevação de privilégios volta a dominar o boletim, com 249 falhas — a classe que os atacantes tipicamente encadeiam depois de obterem um primeiro acesso, para chegarem a privilégios de SYSTEM. Seguem-se 143 falhas de execução remota de código. O gráfico abaixo mostra a distribuição completa.
Como priorizar em Portugal
Perante 570 correções, nenhuma equipa de TI consegue testar e aplicar tudo de uma vez. A boa notícia é que a ordem de prioridades é relativamente clara para a realidade das organizações e entidades públicas portuguesas:
- SharePoint on-premises primeiro. Muitas autarquias, hospitais e empresas nacionais ainda mantêm o SharePoint instalado nos seus próprios servidores. Com um dia zero já explorado (CVE-2026-56164) e uma crítica de CVSS 9.8 (CVE-2026-58644), estas instalações são o alvo mais urgente. A Microsoft recomenda aplicar as duas críticas de SharePoint e Print Spooler nas primeiras 48 horas.
- Infraestrutura de identidade. Se a sua organização usa AD FS para SSO, aplique a correção da CVE-2026-56155 sem demora — um comprometimento aqui abre a porta a toda a rede.
- Serviços expostos. Quem expõe Ambiente de Trabalho Remoto (RDS), Windows Admin Center ou servidor DHCP deve tratar como prioritárias as falhas CVE-2026-58626, CVE-2026-58631 e CVE-2026-58627, por serem infraestrutura habitualmente visada em movimento lateral.
- Portáteis e mobilidade. A correção do BitLocker (CVE-2026-50661) é relevante para todo o parque de equipamentos móveis, sobretudo em cenários de trabalho híbrido.
Vale ainda lembrar que a esmagadora maioria destas falhas está marcada como “ação do cliente necessária” — ou seja, não são resolvidas automaticamente pela cloud e exigem instalação manual via Windows Update ou WSUS. Este ciclo de atualização cruza-se, aliás, com as obrigações de gestão de vulnerabilidades e de comunicação de incidentes do novo regime jurídico da cibersegurança, que transpõe a diretiva NIS2 e abrange muitas destas organizações.
Perguntas frequentes
O que é o Patch Tuesday?
É o nome dado à publicação mensal de atualizações de segurança da Microsoft, que acontece na segunda terça-feira de cada mês. Nesse dia, a empresa divulga correções para as vulnerabilidades identificadas nos seus produtos, acompanhadas de informação sobre severidade e estado de exploração.
Quantas vulnerabilidades foram corrigidas em julho de 2026?
Cerca de 570, quase o triplo das 206 corrigidas em junho. Incluem três falhas de dia zero e duas vulnerabilidades críticas de execução remota de código.
Quais são as falhas mais urgentes?
Os dois dias zero já explorados — CVE-2026-56164 (SharePoint) e CVE-2026-56155 (AD FS) — e as duas críticas de execução remota de código, CVE-2026-58644 (SharePoint, CVSS 9.8) e CVE-2026-58608 (Print Spooler). A Microsoft aconselha aplicar as críticas de SharePoint e Print Spooler nas primeiras 48 horas.
Estas atualizações são automáticas?
Não. A maioria está marcada como “ação do cliente necessária”, o que significa que não são aplicadas automaticamente pela cloud e exigem instalação manual através do Windows Update ou do WSUS.
Esta informação tem caráter noticioso e baseia-se nos boletins de segurança publicados pela Microsoft (Microsoft Security Update Guide) a 14 de julho de 2026.
