Nos primeiros dias de março de 2026, o Google Threat Intelligence Group (GTIG) publicou seu relatório anual de vulnerabilidades zero-day. O dado central: das 90 falhas exploradas in-the-wild em 2025, 43 miraram tecnologia enterprise. Isso representa 48% do total — um recorde histórico. Para quem desenvolve e opera software corporativo, a mensagem é direta: os atacantes mudaram de alvo, e a infraestrutura que sustenta nossos deploys está no centro da mira.

O momento do relatório coincide com o Patch Tuesday de março de 2026, onde a Microsoft corrigiu 79 vulnerabilidades, incluindo um zero-day no SQL Server que permite escalação de privilégios até sysadmin. Não são números abstratos. São falhas em produtos que muitos de nós configuramos, operamos ou dependemos todos os dias.

Os números do relatório Google GTIG

O GTIG rastreia zero-days explorados in-the-wild desde 2019. Em 2025, o total foi 90, acima dos 78 de 2024, mas abaixo do pico de 100 em 2023. A faixa de 60 a 100 por ano se consolidou como o novo normal.

O que mudou de verdade foi a distribuição dos alvos. Em 2025, 43 zero-days (48%) atingiram produtos enterprise. Nos anos anteriores, a fatia enterprise era menor. O grosso dos ataques se concentrava em navegadores e sistemas operacionais de consumo. Agora, pela primeira vez, a infraestrutura corporativa divide quase meio a meio com plataformas de usuário final (47 falhas, ou 52%).

Por fornecedor, a Microsoft liderou com 25 zero-days, seguida pelo Google (11), Apple (8) e Cisco (4). No lado dos sistemas operacionais, foram 39 exploits. Navegadores caíram para menos de 10% do total, um mínimo histórico. E dispositivos móveis subiram de 9 zero-days em 2024 para 15 em 2025.

O que está sendo atacado

A metade enterprise dos 43 zero-days não se distribui uniformemente. Existe uma concentração clara em um tipo específico de produto: dispositivos de borda.

Firewalls, VPNs, appliances de segurança e plataformas de virtualização responderam por quase metade desses 43 exploits. Produtos da Cisco, Fortinet, Ivanti e VMware apareceram com frequência no relatório. O motivo é pragmático: esses dispositivos ficam na fronteira da rede, têm acesso privilegiado e, na maioria dos casos, não rodam agentes de EDR. Ou seja, o atacante compromete um appliance e ganha acesso persistente sem disparar os alertas que funcionariam em um endpoint convencional.

Tem algo inquietante nessa dinâmica. As ferramentas que compramos para proteger a rede viraram o vetor de ataque preferido. O firewall que deveria barrar intrusões se tornou a porta de entrada. A VPN que deveria garantir acesso seguro se tornou o ponto de comprometimento.

Os tipos de vulnerabilidade mais explorados foram execução remota de código, escalação de privilégios, injeção e corrupção de memória. Nenhuma surpresa técnica. O que muda é onde essas falhas estão aparecendo.

Quem está atacando

O GTIG fez uma atribuição que quebra um padrão de anos: em 2025, fornecedores comerciais de spyware (CSVs) foram responsáveis por mais exploits zero-day atribuídos do que grupos de espionagem estatal tradicionais. Pela primeira vez.

Entre os atores estatais, grupos alinhados ao governo chinês continuam na liderança. O relatório cita especificamente UNC5221 e UNC3886, que focam em appliances de segurança e dispositivos de borda para manter acesso persistente a alvos estratégicos. A lógica é clara: comprometer um roteador ou VPN concentrator dá acesso a tráfego de rede inteiro sem precisar se mover lateralmente por endpoints monitorados.

Grupos com motivação financeira também aumentaram o uso de zero-days. O relatório menciona operações de ransomware ligadas ao FIN11 e ao Clop. Quando até operadores de ransomware investem em zero-days, o custo de descoberta e weaponização dessas falhas claramente caiu.

O GTIG alerta ainda que inteligência artificial pode acelerar a exploração de zero-days, automatizando reconhecimento, descoberta de vulnerabilidades e desenvolvimento de exploits. Não é ficção científica. Ferramentas de fuzzing assistidas por IA já existem e estão ficando mais acessíveis.

Patch Tuesday de março de 2026: o caso prático

Cinco dias após a publicação do relatório do Google, a Microsoft lançou o Patch Tuesday de março de 2026, corrigindo 79 vulnerabilidades. O timing funciona como demonstração ao vivo do problema que o GTIG descreve.

A falha mais relevante é a CVE-2026-21262: um zero-day no SQL Server com CVSS de 8.8. A vulnerabilidade é de controle de acesso inadequado (CWE-284) e permite que um usuário autenticado com privilégios baixos escale até sysadmin — o nível administrativo máximo do banco de dados. A exploração acontece via rede, com requisições SQL manipuladas que abusam de verificações de permissão defeituosas. A falha afeta SQL Server 2016, 2017, 2019, 2022 e 2025, em Windows e Linux.

O impacto é classificado como "High" em confidencialidade, integridade e disponibilidade. Até o momento da publicação do patch, não havia exploração ativa confirmada em larga escala, mas o código de exploit já era conhecido publicamente. Isso significa que a janela entre disclosure e exploração ativa pode ser curta.

Outras vulnerabilidades notáveis do mesmo Patch Tuesday:

  • CVE-2026-26127: segundo zero-day do mês, uma vulnerabilidade de DoS no .NET cujos detalhes de exploit já eram públicos antes da correção, um risco direto para aplicações web em produção
  • CVE-2026-26110: RCE crítico no Microsoft Office (CVSS 8.4) explorável pelo painel de visualização, sem necessidade de abrir o arquivo
  • CVE-2026-26113: execução remota de código no Microsoft Office
  • CVE-2026-26144: vazamento de informações no Excel

São 79 falhas em uma única atualização. Quem opera SQL Server, .NET ou Office em produção precisa avaliar esses patches com urgência.

O que devs e times de engenharia podem fazer

O relatório do GTIG não é leitura para o time de segurança guardar numa pasta compartilhada. Os dados afetam diretamente quem escreve código, configura infra e faz deploy. Algumas ações práticas:

Tratar patching como produção, não como manutenção. CVE-2026-21262 mostra o risco: um banco de dados que aceita conexões autenticadas pode ter um usuário com baixo privilégio escalando até sysadmin. Se o ciclo de patching da sua organização é trimestral para bancos de dados, esse intervalo é uma janela de exposição real.

Auditar dispositivos de borda. O dado mais relevante do relatório é que appliances de segurança e VPNs viraram alvos preferidos justamente porque não têm visibilidade de EDR. Listar todos os dispositivos de borda, verificar se estão nas versões mais recentes e garantir que logs são coletados centralmente.

Reduzir a superfície de ataque de serviços expostos. Cada VPN, cada painel administrativo, cada API de gerenciamento exposta à internet é uma superfície que o relatório do GTIG diz estar sendo explorada. Mover o que for possível para redes internas com acesso via zero trust. Se o recurso precisa estar público, colocar atrás de proxy reverso com rate limiting e autenticação forte.

Monitorar disclosure de CVEs nos seus componentes. Ferramentas como osv-scanner do Google ou grype da Anchore verificam vulnerabilidades conhecidas em dependências e imagens de container. Integrar essas ferramentas no CI/CD não substitui patching, mas encurta o tempo entre o disclosure de uma CVE e a sua equipe saber que está exposta.

Não confiar cegamente em appliances. O relatório mostra que firewalls e VPNs são comprometidos. Uma arquitetura que depende exclusivamente de um perímetro de rede para segurança está operando com uma premissa que os dados de 2025 invalidam. Defesa em profundidade não é conceito novo, mas os números agora dão urgência real à adoção.

Conclusão

O relatório do Google GTIG documenta uma inversão que vinha se desenhando desde 2024: a infraestrutura enterprise agora divide o protagonismo com plataformas de consumo como alvo de zero-days. Em 2025, 48% dos ataques miraram produtos corporativos, com ênfase em dispositivos de borda que, ironicamente, existem para proteger a rede.

Para quem desenvolve e opera software, o recado é que segurança não se terceiriza para um appliance. A CVE-2026-21262 no SQL Server, com CVSS 8.8, é um lembrete concreto: um banco de dados com patch atrasado pode ser o caminho mais curto entre um atacante e o controle total do ambiente.

O próximo relatório do GTIG provavelmente vai cobrir o impacto da IA na aceleração de exploits. Mas os dados de 2025 já são suficientes para justificar uma revisão de postura agora, não no próximo quarter.

Referências pesquisadas nesta publicação