Microsoft corrige falha falha no Active Directory explorada em ataques

A Microsoft publicou ontem correções de segurança para a vulnerabilidade CVE-2026-56155, uma falha de elevação de privilégio no Active Directory Federation Services (AD FS) que está sendo explorada ativamente, conforme confirmou a empresa em comunicado. A vulnerabilidade permite que um atacante autenticado localmente com baixos privilégios obtenha acesso de administrador em sistemas afetados.

A CVE-2026-56155, classificada com severidade Importante e CVSS 3.1 de 7.8, tem código de exploração funcional já disponível, de acordo com a Microsoft. O vetor de ataque é local, exige baixa complexidade e privilégios mínimos, sem necessidade de interação do usuário, mas o atacante já deve ter acesso autenticado ao host vulnerável para comprometer totalmente a confidencialidade, integridade e disponibilidade do sistema.

Impacto em ambientes corporativos

A falha é particularmente significativa em ambientes empresariais onde a infraestrutura do AD FS se conecta a domínios do Active Directory e aplicações sensíveis, pois servidores de federação são alvos prioritários por processarem solicitações de autenticação e emitirem tokens de segurança. Um atacante com acesso administrativo local a um servidor AD FS pode alterar configurações de federação, acessar materiais de autenticação sensíveis, desativar controles de segurança ou usar o host comprometido como ponto de partida para invasões adicionais na rede.

A Microsoft atribuiu a falha à granularidade insuficiente no controle de acesso (CWE-1220), que permite que usuários com direitos limitados executem ações que deveriam exigir permissões mais fortes.

Correções e recomendações

As correções abrangem diversas versões do Windows Server, incluindo 2012, 2012 R2, 2016, 2019, 2022 e 2025, além de implantações Server Core, e também estão disponíveis para versões mais antigas do Windows 10. A Microsoft recomenda que organizações que utilizam AD FS priorizem a aplicação das atualizações de segurança de julho, especialmente em servidores de federação expostos a usuários administrativos ou conectados à infraestrutura crítica de identidade.

Administradores devem verificar a instalação das atualizações cumulativas, confirmar o número da build após a aplicação, revisar alterações no grupo de administradores locais, monitorar execuções de processos incomuns nos servidores e investigar modificações suspeitas em configurações de federação e eventos de autenticação. Como a exploração exige acesso local autenticado, a Microsoft sugere reduzir privilégios locais desnecessários e monitorar logins privilegiados para limitar a exposição até que todos os sistemas estejam corrigidos.

A empresa creditou Jeremy Kingston e Scott Clark, da equipe Detection and Response Team (DART), pela reportagem do problema, e não divulgou publicamente detalhes técnicos da exploração para dar tempo adicional aos defensores aplicarem as correções.