A Microsoft resolveu uma vulnerabilidade de execução remota de código (RCE) no Bloco de Notas do Windows 11 que possibilitava a abertura de programas locais ou remotos sem qualquer aviso de segurança. A brecha estava relacionada ao suporte a Markdown, funcionalidade adicionada recentemente ao aplicativo.
Identificada como CVE-2026-20841, a falha foi corrigida nas atualizações do Patch Tuesday de fevereiro de 2026 e afetava versões do Notepad até a 11.2510. O problema permitia que criminosos executassem arquivos maliciosos ao induzir o usuário a clicar em links especialmente manipulados dentro de documentos com extensão .md.
Desde a chegada do Windows 11, a Microsoft modernizou o tradicional editor de texto, que passou a substituir o antigo WordPad, descontinuado pela empresa. Com isso, o novo Bloco de Notas ganhou suporte a Markdown, permitindo visualizar textos formatados e interagir com links clicáveis.
Como a vulnerabilidade funcionava
De acordo com o boletim de segurança, a brecha envolvia uma falha de injeção de comandos decorrente da validação inadequada de elementos especiais inseridos em links. Na prática, um invasor podia criar um arquivo Markdown contendo URLs com protocolos como:
-
file://
-
ms-appinstaller://
-
Outros protocolos diferentes de HTTP e HTTPS
Ao abrir o arquivo no modo Markdown e utilizar o comando Ctrl + clique sobre o link, o aplicativo executava automaticamente o programa associado — sem exibir qualquer alerta do sistema.
Com isso, era possível:
-
Executar arquivos armazenados localmente;
-
Iniciar programas hospedados em compartilhamentos SMB remotos;
-
Acionar URIs específicas do Windows de forma silenciosa.
O código malicioso rodava com os mesmos privilégios do usuário logado. Caso a vítima tivesse permissões administrativas, o ataque poderia resultar no comprometimento completo da máquina.
A descoberta foi atribuída aos pesquisadores Cristian Papa, Alasdair Gorniak e Chen. Após a divulgação, especialistas demonstraram a facilidade de criar um simples arquivo “test.md” contendo um link malicioso funcional.
Atualização altera comportamento do aplicativo
Para mitigar o problema, a Microsoft modificou o funcionamento do Bloco de Notas. Agora, ao clicar em links que utilizam protocolos diferentes de http:// ou https://, o sistema exibe um aviso de segurança solicitando confirmação do usuário.
Protocolos como file:, ms-settings:, ms-appinstaller:, mailto: e ms-search: passaram a gerar uma janela de alerta antes da execução.
Apesar da correção, especialistas apontam que a empresa poderia ter adotado um bloqueio mais restritivo a protocolos não padrão, já que ainda existe a possibilidade de ataques baseados em engenharia social para convencer o usuário a confirmar a ação.
Por outro lado, o impacto da vulnerabilidade tende a ser limitado, pois o Bloco de Notas do Windows 11 recebe atualizações automáticas via Microsoft Store, o que agiliza a aplicação do patch e reduz a janela de exposição ao risco.
