570 falhas, três dias zero: o Patch Tuesday de julho que os administradores portugueses não podem adiar

Se gere servidores Windows numa organização portuguesa, o mês de julho traz-lhe trabalho urgente. A Microsoft corrigiu cerca de 570 vulnerabilidades no Patch Tuesday deste mês — quase o triplo das 206 de junho — e, no meio dessa avalanche, há três falhas de dia zero e duas críticas que não podem esperar pela próxima janela de manutenção. Duas delas já estão a ser exploradas por atacantes.

Em resumo: o Patch Tuesday de julho de 2026 corrige cerca de 570 vulnerabilidades. Há três dias zero — no SharePoint Server (CVE-2026-56164), no Active Directory Federation Services (CVE-2026-56155), ambos já explorados, e no BitLocker (CVE-2026-50661), divulgado publicamente. Duas falhas críticas de execução remota de código no SharePoint (CVE-2026-58644, CVSS 9.8) e no Print Spooler (CVE-2026-58608) exigem prioridade máxima. Para as organizações portuguesas, o foco deve estar no SharePoint on-premises e na infraestrutura de identidade.

Os dois dias zero que já estão a ser explorados

De todas as falhas corrigidas este mês, duas destacam-se por já estarem a ser usadas em ataques reais — e ambas atingem componentes centrais das infraestruturas empresariais.

A CVE-2026-56164 afeta o Microsoft SharePoint Server e permite a elevação de privilégios sem autenticação, através da rede. Curiosamente, a Microsoft classifica-a apenas como severidade “Moderada” (CVSS 5.3), mas isso não deve baixar a guarda: a falha está a ser explorada ativamente (a deteção foi confirmada por investigadores da Mandiant e da Google) e falhas de elevação de privilégios no SharePoint têm um historial de serem encadeadas com falhas de execução de código para tomada total do servidor. Qualquer instalação de SharePoint on-premises deve tratá-la como prioridade máxima, independentemente do rótulo de severidade.

A CVE-2026-56155 é ainda mais sensível em termos de identidade. Atinge o Active Directory Federation Services (AD FS) — o componente que a Microsoft usa para federação de identidade e início de sessão único (SSO) — e está classificada como “Importante” (CVSS 7.8). Também confirmada como explorada ativamente, permite a um atacante já autenticado obter privilégios de administrador. Como o AD FS sustenta a confiança de autenticação em ambientes híbridos (Azure AD/on-premises), uma exploração bem-sucedida pode servir de trampolim para comprometer toda a infraestrutura de identidade da organização.

O terceiro dia zero: BitLocker e o risco dos portáteis perdidos

A CVE-2026-50661 é uma falha de contorno de funcionalidade de segurança no BitLocker, a encriptação de disco do Windows. Foi divulgada publicamente antes de existir correção, mas ainda não há exploração confirmada. O cenário de risco é físico: um atacante com acesso ao dispositivo — um portátil perdido ou roubado, por exemplo — poderia contornar a encriptação e aceder aos dados. Não é explorável remotamente, mas é um lembrete de que a proteção de dados em dispositivos móveis depende de manter o BitLocker atualizado, sobretudo em organizações com trabalho híbrido e equipamentos fora das instalações.

As duas críticas: SharePoint e Print Spooler

Além dos dias zero, há duas vulnerabilidades de execução remota de código classificadas como Críticas que merecem atenção imediata, mesmo não estando ainda a ser exploradas.

A CVE-2026-58644, no SharePoint, é a mais grave do lote com um CVSS de 9.8. Resulta da desserialização de dados não fidedignos e a Microsoft avalia a sua exploração como “mais provável”. Requer que o atacante esteja autenticado com um nível mínimo de proprietário de site, mas a partir daí permite injetar e executar código remotamente no servidor. A CVE-2026-58608, no Windows Print Spooler, resulta de uma condição de corrida e uso de memória após libertação (use-after-free) — o Print Spooler é um velho conhecido dos administradores, repetidamente visado por operadores de ransomware e atores estatais. Foi descoberta pelo reputado investigador Orange Tsai.

As falhas a corrigir primeiro

CVEComponenteImpactoSeveridadeEstado
CVE-2026-56164SharePoint ServerElevação de privilégiosModeradaExplorado ativamente
CVE-2026-56155AD FSElevação de privilégiosImportanteExplorado ativamente
CVE-2026-50661BitLockerContorno de segurançaImportanteDivulgado publicamente
CVE-2026-58644SharePointExecução remota de códigoCrítica (9.8)Exploração mais provável
CVE-2026-58608Print SpoolerExecução remota de códigoCríticaExploração menos provável
Vulnerabilidades prioritárias do Patch Tuesday de julho de 2026. Fonte: Microsoft Security Update Guide (MSRC).

570 falhas: o retrato do mês

A elevação de privilégios volta a dominar o boletim, com 249 falhas — a classe que os atacantes tipicamente encadeiam depois de obterem um primeiro acesso, para chegarem a privilégios de SYSTEM. Seguem-se 143 falhas de execução remota de código. O gráfico abaixo mostra a distribuição completa.

As 570 vulnerabilidades por tipo de impactoElevação de privilégios249Execução remota de código143Divulgação de informação102Negação de serviço35Contorno de segurança17Spoofing16Adulteração8Fonte: Microsoft Patch Tuesday, julho de 2026

Como priorizar em Portugal

Perante 570 correções, nenhuma equipa de TI consegue testar e aplicar tudo de uma vez. A boa notícia é que a ordem de prioridades é relativamente clara para a realidade das organizações e entidades públicas portuguesas:

  1. SharePoint on-premises primeiro. Muitas autarquias, hospitais e empresas nacionais ainda mantêm o SharePoint instalado nos seus próprios servidores. Com um dia zero já explorado (CVE-2026-56164) e uma crítica de CVSS 9.8 (CVE-2026-58644), estas instalações são o alvo mais urgente. A Microsoft recomenda aplicar as duas críticas de SharePoint e Print Spooler nas primeiras 48 horas.
  2. Infraestrutura de identidade. Se a sua organização usa AD FS para SSO, aplique a correção da CVE-2026-56155 sem demora — um comprometimento aqui abre a porta a toda a rede.
  3. Serviços expostos. Quem expõe Ambiente de Trabalho Remoto (RDS), Windows Admin Center ou servidor DHCP deve tratar como prioritárias as falhas CVE-2026-58626, CVE-2026-58631 e CVE-2026-58627, por serem infraestrutura habitualmente visada em movimento lateral.
  4. Portáteis e mobilidade. A correção do BitLocker (CVE-2026-50661) é relevante para todo o parque de equipamentos móveis, sobretudo em cenários de trabalho híbrido.

Vale ainda lembrar que a esmagadora maioria destas falhas está marcada como “ação do cliente necessária” — ou seja, não são resolvidas automaticamente pela cloud e exigem instalação manual via Windows Update ou WSUS. Este ciclo de atualização cruza-se, aliás, com as obrigações de gestão de vulnerabilidades e de comunicação de incidentes do novo regime jurídico da cibersegurança, que transpõe a diretiva NIS2 e abrange muitas destas organizações.

Perguntas frequentes

O que é o Patch Tuesday?

É o nome dado à publicação mensal de atualizações de segurança da Microsoft, que acontece na segunda terça-feira de cada mês. Nesse dia, a empresa divulga correções para as vulnerabilidades identificadas nos seus produtos, acompanhadas de informação sobre severidade e estado de exploração.

Quantas vulnerabilidades foram corrigidas em julho de 2026?

Cerca de 570, quase o triplo das 206 corrigidas em junho. Incluem três falhas de dia zero e duas vulnerabilidades críticas de execução remota de código.

Quais são as falhas mais urgentes?

Os dois dias zero já explorados — CVE-2026-56164 (SharePoint) e CVE-2026-56155 (AD FS) — e as duas críticas de execução remota de código, CVE-2026-58644 (SharePoint, CVSS 9.8) e CVE-2026-58608 (Print Spooler). A Microsoft aconselha aplicar as críticas de SharePoint e Print Spooler nas primeiras 48 horas.

Estas atualizações são automáticas?

Não. A maioria está marcada como “ação do cliente necessária”, o que significa que não são aplicadas automaticamente pela cloud e exigem instalação manual através do Windows Update ou do WSUS.

Esta informação tem caráter noticioso e baseia-se nos boletins de segurança publicados pela Microsoft (Microsoft Security Update Guide) a 14 de julho de 2026.