A atualização de segurança do Patch Tuesday de março de 2026 lançada pela Microsoft, incluiu correções cruciais para diversas vulnerabilidades, destacando-se falhas críticas no Microsoft Office que podiam ser exploradas através do Painel de Pré-visualização (Preview Pane). No total, a atualização de março resolveu entre 79 a 84 vulnerabilidades, abrangendo Windows, Office, Azure e SQL Server.
Estas vulnerabilidades são exploradas ativamente em ataques informáticos a nível global, pois as falhas permitem contornar mecanismos de segurança e executar código malicioso quando um utilizador abre um documento aparentemente legítimo.
Embora muitos destes ataques sejam inicialmente descritos como “dirigidos”, a realidade é que qualquer organização que utilize Microsoft Office ou Microsoft 365 pode tornar-se um alvo. E em Portugal, onde o email continua a ser o principal vetor de ataque, estas vulnerabilidades reforçam um problema que já conhecemos bem: a combinação explosiva entre phishing, documentos maliciosos e falta de atualização de software.
Mas o verdadeiro risco não está apenas na vulnerabilidade porque esta, por si só, raramente compromete uma organização. O verdadeiro risco surge quando ela se cruza com comportamentos humanos previsíveis. Grande parte das explorações destas falhas acontece através de emails de phishing que contêm anexos do Office manipulados, normalmente documentos Word, Excel ou PowerPoint. Quando o utilizador abre o ficheiro, o atacante pode explorar a vulnerabilidade para executar código malicioso e comprometer o sistema.
Este tipo de ataque continua a ser extremamente eficaz porque o email continua a ser o principal canal de comunicação nas empresas. Os colaboradores confiam naturalmente em documentos recebidos de parceiros ou clientes. Desde PMEs a organismos públicos, o Microsoft 365 tornou-se a plataforma central de produtividade, comunicação e colaboração.
Quando uma vulnerabilidade deste tipo surge, o impacto potencial vai muito além de um computador infetado. Num cenário típico, um atacante pode comprometer uma conta de email, observar comunicações durante semanas e depois enviar faturas falsas ou instruções de pagamento aparentemente legítimas. Este tipo de fraude já causou perdas significativas a empresas europeias — e Portugal não é exceção.
Durante muitos anos, a estratégia de segurança das empresas resumia-se a instalar um antivírus. Hoje, isso já não chega. A proteção eficaz exige uma abordagem mais ampla, que inclua, por exemplo, proteção avançada de email, monitorização de endpoints, gestão rápida de patches e atualizações, formação de utilizadores e políticas de segurança no Microsoft 365. E como se faz isto? Com uma manutenção proativa, confiando num parceiro que preste um apoio diário ao seu parque informático. Pense nisto não como um gasto mas um investimento, pois a “reação” irá custar muito mais dinheiro e a perda de dados relevantes.
Resumindo, as vulnerabilidades do Microsoft Office são apenas mais um exemplo de uma realidade inevitável: todas as plataformas terão falhas de segurança. O verdadeiro diferencial entre organizações resilientes e organizações vulneráveis não é a ausência de vulnerabilidades — isso é impossível. É a capacidade de atualizar rapidamente sistemas, identificar comportamentos suspeitos, bloquear phishing antes de chegar ao utilizador e, sobretudo, criar cultura de segurança dentro da organização
Porque no final, o ataque mais sofisticado do mundo continua a depender do mesmo fator: alguém abrir um email e clicar num anexo.
Rui Dias,
CEO Porbite
