# CVE-2026-24289 - Windows Kernel Elevação de Privilégio > [!medium] CVSS 7.8 - Alto - Windows Kernel EoP - Patch Tuesday W11/2026 - Exploração "More Likely" > Elevação de privilégio no **Windows Kernel**, corrigida no Patch Tuesday de março de 2026. A Microsoft classificou como **"Exploitation More Likely"**, indicando alta probabilidade de exploração ativa por atores de ameaça nas próximas semanas. ## Visão Geral [[cve-2026-24289|CVE-2026-24289]] é uma vulnerabilidade de elevação de privilégio (EoP) no Windows Kernel - o núcleo do sistema operacional que gerencia todos os recursos de hardware e fornece serviços essenciais a todos os processos. EoPs no kernel do Windows são componentes fundamentais de cadeias de ataque avançadas: permitem que um processo com baixo privilégio (user mode) escale para SYSTEM, assumindo controle total da máquina. A classificação "Exploitation More Likely" pelo MSRC indica que a Microsoft avalia que esta vulnerabilidade tem alta probabilidade de ser explorada ativamente no curto prazo - tipicamente porque: (1) a classe de vulnerabilidade é bem compreendida por pesquisadores ofensivos, (2) versões afetadas têm ampla implantação, ou (3) pode existir pesquisa de exploração circulando em fóruns privados. A CVE está agrupada com [[cve-2026-26132|CVE-2026-26132]] (também Kernel EoP, CVSS 7.8) no mesmo Patch Tuesday. > [!latam] Relevância LATAM > EoPs de kernel são exploradas por práticamente todos os grupos de ransomware que operam no Brasil para escalar privilégios após acesso inicial. Organizações dos setores financeiro, saúde e manufatura com infraestrutura Windows devem tratar estas atualizações como emergência, especialmente em sistemas sem EDR implantado. ## Detalhes Técnicos **Componente:** Windows Kernel **Tipo:** Elevation of Privilege (EoP) - local **Agrupado com:** [[cve-2026-26132|CVE-2026-26132]] (mesmo advisory) **Patch Tuesday:** 11 de março de 2026 (W11/2026 - 83 CVEs) **Classificação Microsoft:** "Exploitation More Likely" ## CVEs do Patch Tuesday W11/2026 - "Exploitation More Likely" | CVE | CVSS | Componente | Tipo | |-----|------|-----------|------| | [[cve-2026-21262\|CVE-2026-21262]] | 8.8 | SQL Server | EoP | | CVE-2026-24289 (este) | 7.8 | Windows Kernel | EoP | | [[cve-2026-25187\|CVE-2026-25187]] | 7.8 | Winlogon | EoP (Project Zero) | ## Detecção e Defesa - Aplicar Patch Tuesday de março 2026 imediatamente via Windows Update via [[m1051-update-software|M1051]] - Monitorar escalonamento de privilégio no Windows via Sysmon Event ID 4688 (criação de processo) - Detectar chamadas anômalas de sistema via EDR (indicadores de kernel exploitation) - Implementar Credential Guard e Device Guard para limitar superfície de ataque do kernel - Revisar tokens de acesso de processos em execução para detectar comprometimento via [[t1134-access-token-manipulation|T1134]] - Aplicar isolamento de processo para reduzir impacto de exploração ## Referências - [NVD - CVE-2026-24289](https://nvd.nist.gov/vuln/detail/CVE-2026-24289) - [[cve-2026-21262|CVE-2026-21262]] (SQL Server EoP - mesmo Patch Tuesday W11) - [[cve-2026-25187|CVE-2026-25187]] (Winlogon EoP - mesmo Patch Tuesday W11) - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1134-access-token-manipulation|T1134 - Access Token Manipulation]] - [[m1051-update-software|M1051 - Update Software]] - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - [[financial|Financeiro]] - [[government|Governo]] - [[healthcare|Saúde]]