Uma vulnerabilidade crítica corrigida recentemente pela Microsoft revelou um risco preocupante para usuários do Windows 11. A falha permitia a execução remota de código (RCE) de forma silenciosa sem qualquer alerta de segurança por meio de links maliciosos inseridos em arquivos Markdown.
O problema foi corrigido nas atualizações do Patch Tuesday de fevereiro de 2026, mas levanta discussões importantes sobre segurança em recursos aparentemente simples do sistema operacional.
O que era a vulnerabilidade (CVE-2026-20841)
A falha, identificada como CVE-2026-20841, afetava versões do Bloco de Notas até a 11.2510 e explorava o suporte recente ao formato Markdown.
O recurso permite abrir e visualizar arquivos .md com links clicáveis e formatação avançada. No entanto, justamente essa funcionalidade abriu uma brecha de segurança.
Um invasor poderia criar um arquivo Markdown contendo links com protocolos especiais, como:
- file://
- ms-appinstaller://
- outros protocolos que não usam HTTP ou HTTPS
Quando o usuário abria o arquivo e pressionava Ctrl + clique sobre o link, o sistema executava automaticamente o programa associado sem exibir aviso de segurança.
Como o ataque funcionava na prática
Segundo o boletim oficial de segurança, a vulnerabilidade envolvia injeção de comandos (command injection) causada pela neutralização inadequada de caracteres especiais em links.
Na prática, isso permitia que o Bloco de Notas executasse:
- arquivos locais diretamente;
- programas hospedados em compartilhamentos SMB remotos;
- URIs especiais do Windows;
- aplicativos instaladores do sistema.
Tudo ocorria silenciosamente e com os mesmos privilégios do usuário que abriu o arquivo. Caso a vítima tivesse permissões administrativas, o comprometimento poderia ser total.
Por que o problema é relevante
Desde a reformulação do Bloco de Notas no Windows 11 — que substituiu o antigo WordPad — o aplicativo passou a oferecer recursos mais avançados, como suporte nativo a Markdown.
Essa modernização melhorou a produtividade, mas também ampliou a superfície de ataque, especialmente porque links clicáveis executavam ações diretamente no sistema.
Quem descobriu a falha
A vulnerabilidade foi identificada pelos pesquisadores de segurança:
- Cristian Papa
- Alasdair Gorniak
- Chen
Após a divulgação, especialistas demonstraram rapidamente como criar um arquivo Markdown com link malicioso totalmente funcional, evidenciando a simplicidade da exploração.
Como a Microsoft corrigiu o problema
A correção alterou o comportamento do Bloco de Notas ao lidar com links.
Agora, quando o usuário tenta abrir links com protocolos que não sejam http:// ou https://, o sistema exibe um alerta de segurança solicitando confirmação.
Protocolos que passaram a exigir confirmação incluem:
- file:
- ms-settings:
- ms-appinstaller:
- mailto:
- ms-search:
A correção é suficiente?
Apesar do patch, especialistas questionam a decisão de não bloquear completamente protocolos não padrão.
Isso porque ataques de engenharia social ainda podem convencer usuários a clicar em “Sim” na caixa de diálogo, permitindo a execução do código malicioso.
Impacto e atualização automática
A boa notícia é que o Bloco de Notas do Windows 11 recebe atualizações automáticas pela Microsoft Store, o que reduz significativamente a exposição após a aplicação do patch.
Usuários que mantêm o sistema atualizado já estão protegidos contra essa falha.
Conclusão
A vulnerabilidade CVE-2026-20841 mostra como até aplicativos simples podem se tornar vetores de ataque quando ganham novas funcionalidades. O suporte a Markdown trouxe mais recursos ao Bloco de Notas, mas também revelou riscos associados à execução automática de links.
O episódio reforça três lições importantes:
- manter o sistema sempre atualizado;
- evitar abrir arquivos desconhecidos, mesmo em aplicativos básicos;
- desconfiar de links que executam ações no sistema.
