cve-2026-26110 - RunkIntel

# CVE-2026-26110 - Microsoft Office Type Confusion RCE (Preview Pane) > [!high] CVSS 8.4 - Type confusion RCE no Microsoft Office via Preview Pane · [[_microsoft|Microsoft]] · Patch Tuesday mar/2026 ## Visão Geral A CVE-2026-26110 é uma vulnerabilidade de type confusion (CWE-843) no [[_microsoft|Microsoft]] Office que permite execução remota de código local. A falha ocorre durante o parsing ou renderização de documentos Office: quando um objeto é acessado com um tipo incompatível, ocorre corrupção de memória que pode ser explorada para execução de código arbitrário no contexto do usuário. Foi corrigida no Patch Tuesday de março de 2026 (10 de março). A característica mais preocupante é que a vulnerabilidade pode ser acionada pela simples visualização do documento no Preview Pane do Windows Explorer - sem necessidade de abrir o arquivo em um editor. Embora o vetor seja local (AV:L) e a Microsoft classifique exploração futura como menos provável, a entrega via phishing e a ausência de interação explícita elevam o risco prático para organizações brasileiras que dependem do Office como plataforma central de produtividade. > [!latam] Relevância para Brasil e LATAM > O Microsoft Office é o suite de produtividade dominante em organizações brasileiras de todos os portes. Combinado com phishing direcionado (BEC, spear-phishing), esta vulnerabilidade representa risco real para o setor financeiro, governo e saúde. A variante companheira [[cve-2026-26113|CVE-2026-26113]] (CVSS 9.0) afeta específicamente o Outlook com exploit zero-click, ampliando a superfície de ataque no mesmo ciclo de patches. ## Resumo Técnico **CVE-2026-26110** é uma vulnerabilidade de **type confusion** (CWE-843) no **[[Microsoft Office]]** que permite execução remota de código local. A falha ocorre durante o parsing ou renderização de documentos Office: quando um objeto é acessado com um tipo incompatível, ocorre corrupção de memória que pode ser explorada para execução de código arbitrário no contexto do usuário. A característica mais preocupante é que a vulnerabilidade pode ser acionada apenas com a **visualização do documento no Preview Pane** do Windows Explorer - sem necessidade de abrir o arquivo em um editor. **Pontuação de risco:** - CVSS v3.1: **8.4** (Alto) - Vetor local (AV:L), mas entrega do arquivo via phishing/download - Patch: **Patch Tuesday de março de 2026** (10 de março) - Exploração ativa: **não confirmada** - Microsoft classifica como "exploração futura menos provável" ## Exploração A exploração requer que um usuário receba e visualize um documento Office malicioso. O atacante cria um arquivo especialmente construído que aciona a confusão de tipo durante o processamento pelo Office. **Cenários de entrega:** - E-mail com anexo Office malicioso (spear-phishing) - Download de documento de site comprometido - Compartilhamento via ferramentas de colaboração (Teams, SharePoint) **Particularidade - Preview Pane:** A vulnerabilidade pode ser acionada sem que o usuário abra o documento completamente - apenas navegar até o arquivo no Windows Explorer com o Preview Pane ativo pode disparar o processamento pelo Office. Isso elimina a necessidade de "abrir" o arquivo, reduzindo a barreira de exploração. **Versões afetadas:** | Produto | Versão/Edição | |---------|---------------| | Microsoft 365 Apps | Todas as edições (Click-to-Run) | | Office 2016 | x86 e x64 (KB5002838 para fix) | | Office 2019 | x86 e x64 | | Office LTSC 2021 | Windows e macOS | | Office LTSC 2024 | Windows e macOS | | Office para Android | < 16.0.19822.20000 | ## Impacto - **Execução de código no contexto do usuário:** o código do atacante é executado com os privilégios do usuário atual do Windows - **Comprometimento de estação de trabalho:** instalação de malware, implantes, keyloggers - **Acesso a dados locais:** documentos, credenciais salvas em navegadores, histórico - **Possível escalada:** combinável com vulnerabilidades de elevação de privilégio do Windows **Impacto LATAM/Brasil:** O Microsoft Office é o suite de produtividade dominante em organizações brasileiras. Em combinação com phishing direcionado (BEC, spear-phishing), esta vulnerabilidade representa risco real para organizações de qualquer porte. ## Mitigação **Patch oficial:** - Instalar atualização do **Patch Tuesday de março de 2026** (10 de março de 2026) - Para Office 2016: KB5002838 - Para Microsoft 365 Apps: atualização automática via canal atual - Referência: [Microsoft Security Update Guide](https://msrc.microsoft.com/update-guide/) **Mitigações adicionais:** - **Desabilitar o Preview Pane** no Windows Explorer: `Exibir > Painel de visualização > desativar` - Implementar política de **Protected View** para todos os documentos de fontes externas - Habilitar **Attack Surface Reduction (ASR) rules** via Microsoft Defender - Treinar usuários para desconfiar de documentos Office recebidos de fontes externas ## Notas Relacionadas **CVEs relacionados (mesmo Patch Tuesday):** [[cve-2026-21509|CVE-2026-21509]] · [[cve-2026-21513|CVE-2026-21513]] · [[cve-2026-21536|CVE-2026-21536]] **TTPs relacionadas:** [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] · [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **Setores em risco:** [[financial]] · [[government]] · [[healthcare|saúde]] · Qualquer organização usando Microsoft Office **Nota:** Apesar do nome que inicialmente circulou como "SharePoint RCE", CVE-2026-26110 afeta o Microsoft Office, não o SharePoint diretamente.