CVE-2026-27928: Network Bypass in Windows Hello
Plataforma
windows
Componente
windows-hello
Corrigido em
10.0.26100.32690
CVE-2026-27928 describes an improper input validation vulnerability within Windows Hello. This flaw allows an unauthorized attacker to bypass a security feature over a network connection, potentially leading to unauthorized access. The vulnerability affects Windows 10 versions up to and including 10.0.26100.32690. Microsoft has released a security update to address this issue.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-27928 no Windows Server 2016, com uma pontuação CVSS de 8.7, permite que um atacante não autorizado ignore uma funcionalidade de segurança do Windows Hello através de uma rede. Isso se deve a uma validação inadequada da entrada no componente Windows Hello. Um atacante pode explorar essa falha para obter acesso não autorizado a sistemas protegidos pelo Windows Hello, comprometendo a confidencialidade e a integridade dos dados. A vulnerabilidade afeta especificamente o Windows Server 2016 e requer que o atacante esteja conectado à rede do sistema vulnerável. A gravidade da vulnerabilidade indica um risco significativo para as organizações que utilizam o Windows Hello para autenticação. É crucial aplicar a atualização de segurança fornecida para mitigar esse risco.
Contexto de Exploração
A exploração desta vulnerabilidade requer que o atacante tenha acesso à rede onde o sistema Windows Server 2016 vulnerável está localizado. O atacante pode enviar pacotes especialmente elaborados através da rede para explorar a validação inadequada da entrada no Windows Hello. O sucesso da exploração depende da configuração específica do Windows Hello e das políticas de segurança implementadas. Embora não tenham sido relatados casos de exploração ativa na natureza, a alta pontuação CVSS indica que a vulnerabilidade é suscetível à exploração. Recomenda-se que as organizações monitorem suas redes em busca de atividades suspeitas e apliquem a atualização de segurança o mais rápido possível para prevenir possíveis ataques.
Inteligência de Ameaças
Status do Exploit
EPSS
0.08% (percentil 23%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A Microsoft lançou uma atualização de segurança para resolver a vulnerabilidade CVE-2026-27928. A versão recomendada é 10.0.26100.32690. Recomenda-se fortemente que os administradores de sistemas apliquem esta atualização o mais rápido possível para proteger seus sistemas Windows Server 2016. Antes de aplicar a atualização, é importante fazer backup do sistema e testar a atualização em um ambiente de teste para garantir a compatibilidade. Além disso, revise as políticas de segurança do Windows Hello para garantir que estejam configuradas de forma segura e que as melhores práticas de segurança sejam implementadas. A aplicação oportuna desta atualização é essencial para reduzir o risco de exploração.
Como corrigirtraduzindo…
Instale las actualizaciones de seguridad de Microsoft para proteger su sistema. Estas actualizaciones corrigen una vulnerabilidad que permite a un atacante no autorizado omitir una característica de seguridad de Windows Hello a través de una red. Asegúrese de aplicar las actualizaciones lo antes posible para mitigar el riesgo.
Perguntas frequentes
O que é CVE-2026-27928 em Windows Hello?
Windows Hello é uma funcionalidade de segurança do Windows que permite aos usuários fazer login em seus dispositivos usando métodos biométricos, como reconhecimento facial ou impressão digital.
Estou afetado pelo CVE-2026-27928 no Windows Hello?
Se um atacante explorar esta vulnerabilidade, ele poderá ignorar a autenticação do Windows Hello e obter acesso não autorizado aos sistemas do usuário.
Como corrijo o CVE-2026-27928 no Windows Hello?
Se você não puder aplicar a atualização imediatamente, considere implementar medidas de mitigação temporárias, como fortalecer as políticas de segurança do Windows Hello e monitorar a rede em busca de atividades suspeitas.
O CVE-2026-27928 está sendo explorado ativamente?
A Microsoft fornece ferramentas de avaliação de vulnerabilidades que podem ajudar a determinar se seu sistema é vulnerável a esta vulnerabilidade. Consulte o site da Microsoft Update para obter mais informações.
Onde encontro o aviso oficial do Windows Hello para o CVE-2026-27928?
KEV (Knowledge-Base Article) é um identificador de artigo da Base de Conhecimento da Microsoft. Neste caso, não há um KEV associado a esta vulnerabilidade.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...