ALERTA 37/2026

[TLP:CLEAR]

1. Foi publicada uma atualização de segurança para resolver uma falha crítica que afeta o Windows. Observou-se que foi identificada uma vulnerabilidade no Windows com potencial de execução arbitrária de código por atacante remoto. A falha é descrita na Common Vulnerabilities and Exposures (CVE):

Apesar da vulnerabilidade ser de 2008, novas atualizações elevaram o seu risco e demandam uma ação imediata. A falha é descrita na Common Vulnerabilities and Exposures (CVE):

https://nvd.nist.gov/vuln/detail/CVE-2008-4250
https://www.cve.org/CVERecord?id=CVE-2008-4250

2. Conforme informações do fornecedor, as versões vulneráveis do produto incluem:

- Windows 2000 (Service Pack 4)

- Windows XP (Service Pack 2 e Service Pack 3)

- Windows XP Professional x64 Edition (e com Service Pack 2)

- Windows Server 2003 (Service Pack 1 e Service Pack 2)

- Windows Server 2003 x64 Edition (e com Service Pack 2)

- Windows Server 2003 para sistemas baseados em Itanium (SP1 e SP2)

- Windows Vista Gold (versão original sem SP) e Windows Vista Service Pack 1 (versões de 32 bits e x64)

- Windows Server 2008 (para sistemas de 32 bits, x64 e baseados em Itanium, incluindo instalações Server Core)

- Windows 7 Pre-Beta (a vulnerabilidade foi descoberta e corrigida antes do lançamento oficial do Windows 7 comercial).

3. O CTIR Gov recomenda que as instituições identifiquem se utilizam versões vulneráveis e apliquem imediatamente as correções fornecidas pelo desenvolvedor.

Esta vulnerabilidade pode afetar componentes, bibliotecas ou implementações utilizados por diferentes produtos. Para mais informações, consulte as referências abaixo:

https://learn.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-067
https://nvd.nist.gov/vuln/detail/CVE-2008-4250

4. Resumo sobre criticidade:

- Listada no catálogo CISA KEV: SIM
- CVSS Base Score: N/A
- EPSS: 93,62%
- Percentile EPSS: 99,84%

a) O que é o Cybersecurity and Infrastructure Security Agency Know Exploited Vulnerabilities Catalog (CISA KEV)?

Catálogo de vulnerabilidade mantida pela agência CISA. Os requisitos para uma vulnerabilidade ser listada no catálogo são: (1) A vulnerabilidade possui um ID CVE (Common Vulnerabilities and Exposures) atribuído; (2) Há evidências confiáveis de que a vulnerabilidade foi ativamente explorada em ambientes reais; (3) Existe uma ação de correção clara para a vulnerabilidade, como uma atualização fornecida pelo fabricante. Fonte: https://www.cisa.gov/known-exploited-vulnerabilities

b) O que é Common Vulnerability Scoring System (CVSS)?

Metodologia aberta para comunicar as características e a gravidade de vulnerabilidades em softwares. É composto por três grupos de métricas: Base, Temporal e Ambiental. Quanto mais próximo do 10, maior a criticidade da vulnerabilidade. Fonte: https://www.first.org/cvss/v3-1/specification-document

c) O que é o Exploit Prediction Scoring System (EPSS)?

Estimativa diária global da probabilidade de que uma atividade de exploração seja observada nos próximos 30 dias. Fonte: https://www.first.org/epss/model

6. O CTIR Gov ressalta que, de acordo com o artigo 12, inciso IX, do Decreto Nº 10.748, de 16 de julho de 2021, os órgãos pertencentes à REGIC devem "sanar, com urgência, as vulnerabilidades cibernéticas, em especial aquelas identificadas nos alertas e nas recomendações", conforme publicado em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/decreto/d10748.htm

7. Informações sobre a Rede Federal de Gestão de Incidentes Cibernéticos (REGIC): https://www.gov.br/ctir/regic

8. Informações sobre o Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST): https://www.gov.br/ctir/tlp

Equipe CTIR Gov.

[TLP:CLEAR]