# CVE-2026-25187 - Windows Winlogon Elevação de Privilégio (Google Project Zero) > [!medium] CVSS 7.8 - Alto - Windows Winlogon EoP - Descoberto pelo Google Project Zero - Exploração "More Likely" > Elevação de privilégio no **Windows Winlogon**, descoberta pelo **Google Project Zero** e corrigida no Patch Tuesday de março de 2026. A Microsoft classificou como **"Exploitation More Likely"**, indicando alto risco operacional de exploração ativa próxima. ## Visão Geral [[cve-2026-25187|CVE-2026-25187]] é uma vulnerabilidade de elevação de privilégio no componente Windows Winlogon - o processo responsável pela autenticação de usuários no Windows, gerenciamento de sessões de logon/logoff e integração com GINA (Graphical Identification and Authentication). A vulnerabilidade foi descoberta pelo **Google Project Zero**, a equipe de pesquisa de vulnerabilidades de classe mundial do Google, o que confere credibilidade técnica elevada ao advisory. O Winlogon opera com privilégios de SYSTEM no Windows, tornando vulnerabilidades neste componente especialmente críticas: uma EoP bem-sucedida permite ao atacante assumir o controle total do sistema. A classificação "Exploitation More Likely" pelo MSRC indica que a Microsoft acredita que, das vulnerabilidades corrigidas neste Patch Tuesday, esta tem alta probabilidade de ser transformada em exploit funcional por atores de ameaça no curto prazo. > [!latam] Relevância LATAM > Vulnerabilidades de EoP em componentes core do Windows (como Winlogon) são ferramentas clássicas de pós-exploração em ataques de ransomware e espionagem. Grupos de ransomware que operam no Brasil, como afiliados do LockBit e ALPHV/BlackCat, exploram ativamente EoPs do Windows para escalar privilégios após acesso inicial antes de deployar o payload. ## Detalhes Técnicos **Componente:** Windows Winlogon (processo de autenticação) **Tipo:** Elevation of Privilege (EoP) - local **Descoberto por:** Google Project Zero **Patch Tuesday:** 11 de março de 2026 (W11/2026) **Classificação Microsoft:** "Exploitation More Likely" ## CVEs do Patch Tuesday W11/2026 - "Exploitation More Likely" | CVE | CVSS | Produto | Descoberto por | |-----|------|---------|---------------| | [[cve-2026-21262\|CVE-2026-21262]] | 8.8 | SQL Server | - | | [[cve-2026-24289\|CVE-2026-24289]] | 7.8 | Windows Kernel | - | | CVE-2026-25187 (este) | 7.8 | Winlogon | Google Project Zero | ## Detecção e Defesa - Aplicar patches do Patch Tuesday de março 2026 via Windows Update imediatamente via [[m1051-update-software|M1051]] - Monitorar processos filhos anômalos do Winlogon via EDR e logs de eventos Windows - Verificar integridade de sessões de logon e tokens de acesso via auditoria de segurança - Bloquear acesso local não autorizado a sistemas sensíveis via [[m1026-privileged-account-management|M1026]] - Implementar credential guard para proteger credenciais em memória via [[t1003-os-credential-dumping|monitoramento de T1003]] - Auditar uso de SeImpersonatePrivilege e SeAssignPrimaryTokenPrivilege nos logs ## Referências - [NVD - CVE-2026-25187](https://nvd.nist.gov/vuln/detail/CVE-2026-25187) - [[cve-2026-21262|CVE-2026-21262]] (SQL Server EoP - mesmo Patch Tuesday W11) - [[cve-2026-24289|CVE-2026-24289]] (Windows Kernel EoP - mesmo Patch Tuesday W11) - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[m1051-update-software|M1051 - Update Software]] - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - [[financial|Financeiro]] - [[government|Governo]] - [[technology|Tecnologia]]