O problema com o Patch Tuesday — a segunda terça-feira do mês, quando a Microsoft lança um pacote completo de atualizações de segurança em todo o seu portfólio de produtos de uma só vez — é que são tantas correções que algumas acabam se perdendo no “tsunami” de vulnerabilidades.
Esse é certamente o caso de coberturas de mídia cruciais que poderiam alertar os usuários sobre problemas de segurança que merecem atenção e resposta imediata. Este mês, por exemplo, não é surpresa que um zero-day no SQL Server tenha dominado as manchetes, junto com uma vulnerabilidade zero-click que afeta usuários do Excel. Para que não passe batido, quero chamar sua atenção para a CVE-2026-26123, caso você ainda utilize o aplicativo Microsoft Authenticator no iOS ou Android.
Particularmente, costumo recomendar o app Senhas da Apple ou qualquer recurso de autenticação de dois fatores (2FA) que o seu gerenciador de senhas ofereça. Se você ainda usa o Microsoft Authenticator, no entanto, continue lendo.
A Microsoft confirmou que a CVE-2026-26123 exige interação do usuário para ser explorada por um invasor, e é um problema considerável: “O usuário deve ter um aplicativo malicioso instalado em seu dispositivo e, acidentalmente, selecionar esse aplicativo como o manipulador (handler) para o deep link de login”, afirmou o Centro de Resposta de Segurança da Microsoft (MSRC).
De imediato, isso me parece reduzir drasticamente o risco de exposição a este ataque. E isso provavelmente explicaria a classificação relativamente baixa de 5.5 no Common Vulnerability Scoring System (CVSS), que Adam Barnett, engenheiro de software principal da Rapid7, descreveu como “comum”.
A Microsoft, contudo, detalhou como essa sequência de eventos pode evoluir, explicando que pode ocorrer “quando o usuário escaneia um QR code ou toca em um link de login e escolhe o app malicioso em vez do Microsoft Authenticator, fazendo com que o fluxo de login seja processado pelo aplicativo controlado pelo invasor”.
Passo a palavra a Barnett para mais detalhes. O app Authenticator é frequentemente instalado em um dispositivo pessoal, disse-me ele, mas também fornece códigos de autenticação multifator para serviços de produção em um contexto que poderíamos chamar de BYOD (bring-your-own-device).
“Como os usuários muitas vezes podem escolher seu próprio aplicativo de autenticação”, disse Barnett, “os administradores de segurança que desejam se prevenir contra a possibilidade de um app malicioso se passar pelo Microsoft Authenticator devem considerar como sua política de gerenciamento de dispositivos móveis (MDM) lida com esse cenário”.
Tanto o risco dessa ameaça ocorrer quanto as consequências caso ocorresse levaram a Microsoft a atribuir uma classificação de gravidade “Importante”. “O aplicativo malicioso receberia as informações de login e poderia, potencialmente, usá-las para se autenticar como o usuário, permitindo o acesso a informações ou serviços disponíveis para aquela conta”, confirmou a Microsoft.
A lição? Usuários de iOS e Android do aplicativo Microsoft Authenticator devem atualizar para a versão mais recente o mais rápido possível. É melhor prevenir do que remediar.
*Matéria publicada originalmente em Forbes.com
