# CVE-2026-26113 - Microsoft Outlook RCE Zero-Click (Preview Pane) > [!critical] CVSS 9.0 - RCE zero-click no Preview Pane do Outlook · Exploit funcional confirmado · Patch Tuesday março 2026 ## Visão Geral A CVE-2026-26113 é uma vulnerabilidade crítica de execução remota de código (RCE) no [[_microsoft|Microsoft]] Outlook que permite comprometer um sistema apenas pela renderização de um e-mail no painel de pré-visualização, sem nenhum clique por parte da vítima. Afeta o Microsoft Outlook 2016, 2019, 2021 e o Microsoft 365 Apps, e foi corrigida no Patch Tuesday de março de 2026 junto com sua variante companheira [[cve-2026-26110|CVE-2026-26110]]. A existência de duas vulnerabilidades independentes de RCE zero-click no mesmo componente (Preview Pane) no mesmo ciclo de patches indica fragilidade sistêmica no mecanismo de renderização de e-mails do Outlook. Com CVSS 9.0 e exploit funcional confirmado, esta CVE representa risco imediato para qualquer organização que utilize o Outlook como cliente de e-mail - categoria que inclui a esmagadora maioria das empresas brasileiras e latino-americanas. > [!latam] Relevância para Brasil e LATAM > O Microsoft 365 e o Outlook são a plataforma de produtividade dominante em empresas brasileiras de todos os portes, do setor público ao privado. Um exploit zero-click entregue por e-mail é a combinação ideal para campanhas de phishing direcionado (BEC) ao mercado corporativo brasileiro. A ausência de necessidade de interação do usuário elimina o principal elo de defesa humana, tornando o patch crítico e urgente. ## Impacto Técnico A vulnerabilidade explora o mecanismo de renderização do Preview Pane do Outlook através de um vetor técnico distinto do [[cve-2026-26110|CVE-2026-26110]]. As técnicas associadas incluem [[t1566-phishing|T1566 - Phishing]] como vetor de entrega e [[t1204-user-execution|T1204 - User Execution]] implícita - embora a ausência de clique efetivamente elimine a dependência de ação do usuário. O impacto se estende a todos os setores dependentes de e-mail corporativo, com destaque para [[government|governo]], [[financial|financeiro]] e [[telecommunications|telecomúnicações]] no Brasil, onde o Microsoft 365 é a plataforma dominante. Exploit funcional confirmado eleva o risco operacional imediatamente. ## Exploração A presença de exploit funcional para ambas as vulnerabilidades do Preview Pane cria um cenário em que atacantes podem alternar entre dois vetores independentes. Se uma organização aplica mitigação parcial para [[cve-2026-26110|CVE-2026-26110]], este segundo vetor permanece explorável. Grupos de ameaça avançados como o [[g0007-apt28|APT28]], conhecidos por explorar vulnerabilidades no Outlook (como a CVE-2023-23397), provavelmente incorporarão esses exploits em arsenais de espionagem. Recomenda-se correlacionar com indicadores de [[s0154-cobalt-strike|Cobalt Strike]] em campanhas de phishing direcionado. ## Mitigação - Aplicar imediatamente o patch do Patch Tuesday de março de 2026 (cobre tanto esta CVE quanto a [[cve-2026-26110|CVE-2026-26110]]) - Desabilitar o Preview Pane no Outlook como medida emergêncial temporária - Configurar regras de transporte do Exchange para quarentenar e-mails com formatos de conteúdo suspeitos - Habilitar Attack Surface Reduction (ASR) rules no Microsoft Defender para bloquear criação de processos filho pelo Outlook - Implementar monitoramento EDR focado em comportamento anômalo do processo OUTLOOK.EXE ## Referências - [Microsoft Security Response Center - Patch Tuesday Março 2026](https://msrc.microsoft.com/update-guide/) - [NVD - CVE-2026-26113](https://nvd.nist.gov/vuln/detail/CVE-2026-26113) - [MITRE ATT&CK - T1566 Phishing](https://attack.mitre.org/techniques/T1566/)