Falha wormable no Windows DHCP põe redes em risco real

Q: O que são falhas wormable?

Uma falha wormable (do inglês worm , "verme") é aquela em que o atacante não precisa de nenhuma ação humana para comprometer uma máquina: ele envia um pacote de rede malicioso e o próprio sistema infectado passa a buscar e contaminar outros equipamentos próximos, sem parar. É o mecanismo por trás de epidemias digitais como WannaCry e NotPetya, em 2017, que pararam hospitais, fábricas e operadoras no mundo todo em questão de horas. O perigo está justamente na velocidade. Em vez de depender de um funcionário clicar num link ou abrir um anexo, o worm percorre a rede automaticamente, saltando de máquina em máquina. Por isso, falhas classificadas como wormable costumam virar prioridade máxima nas equipes de segurança: o tempo entre a divulgação do corretivo e a chegada de um exploit nas mãos de cibercriminosos encurtou drasticamente. O analista Dustin Childs, da Zero Day Initiative (ZDI), foi direto ao descrever a CVE-2026-45657 no blog oficial da ZDI : "todo pesquisador com um disassembler está agora revertendo este patch para criar um exploit".

A Microsoft corrigiu em junho de 2026 um recorde histórico de 208 falhas no Windows, entre elas duas vulnerabilidades wormable com nota CVSS 9.8 que permitem invasão remota sem clique e podem se espalhar sozinhas por redes inteiras. A pior delas, batizada CVE-2026-44815, vive dentro do serviço DHCP Client — presente em toda instalação Windows — e coloca em risco qualquer PC ou servidor conectado a uma rede corporativa que ainda não recebeu a atualização.

O que são falhas wormable

Uma falha wormable (do inglês worm, “verme”) é aquela em que o atacante não precisa de nenhuma ação humana para comprometer uma máquina: ele envia um pacote de rede malicioso e o próprio sistema infectado passa a buscar e contaminar outros equipamentos próximos, sem parar. É o mecanismo por trás de epidemias digitais como WannaCry e NotPetya, em 2017, que pararam hospitais, fábricas e operadoras no mundo todo em questão de horas.

O perigo está justamente na velocidade. Em vez de depender de um funcionário clicar num link ou abrir um anexo, o worm percorre a rede automaticamente, saltando de máquina em máquina. Por isso, falhas classificadas como wormable costumam virar prioridade máxima nas equipes de segurança: o tempo entre a divulgação do corretivo e a chegada de um exploit nas mãos de cibercriminosos encurtou drasticamente. O analista Dustin Childs, da Zero Day Initiative (ZDI), foi direto ao descrever a CVE-2026-45657 no blog oficial da ZDI: “todo pesquisador com um disassembler está agora revertendo este patch para criar um exploit”.

A falha no DHCP explicada

A CVE-2026-44815 ataca o DHCP Client Service, o componente do Windows responsável por receber endereço de rede automaticamente quando você liga o computador ou se conecta ao Wi-Fi. Por causa de um buffer overflow baseado em pilha (CWE-121), um atacante remoto e sem autenticação pode executar código arbitrário no nível do sistema, sem qualquer interação do usuário, conforme detalhou a análise da CrowdStrike.

O detalhe que assusta profissionais de segurança é a abrangência: como o cliente DHCP roda em absolutamente toda máquina Windows, o alvo potencial é o planeta inteiro. A própria documentação da Microsoft trouxe uma contradição irritante — o vetor CVSS indica que nenhuma autenticação é exigida, enquanto o texto da advisory fala em “usuário autenticado”. O consenso entre especialistas, registrado pela SecurityAffairs, é confiar no score CVSS 9.8 e agir como se a exploração não precisasse de credenciais. Em redes gerenciadas — escritórios, escolas, órgãos públicos — esse perfil representa um risco de estilo “wormable” real.

O kernel TCP/IP wormable

A segunda falha de nota máxima, CVE-2026-45657, mora no coração do Windows: o kernel. O problema está na forma como o núcleo do sistema processa o protocolo TCP/IP, a base de toda comunicação de internet. Com nota CVSS 9.8, ela permite que um atacante remoto, sem senha e sem qualquer clique da vítima, execute código com privilégios máximos (SYSTEM). A BleepingComputer incluiu a falha entre as prioridades do mês, e a ZDI foi categórica ao rotulá-la como wormable.

A Microsoft classificou a exploração como “menos provável”, um rótulo que analistas experientes tratam com ceticismo. Ele significa apenas que criar o exploit é tecnicamente difícil — não impossível. E numa era em que ferramentas de inteligência artificial ajudam a encontrar falhas e a escrever exploits, a janela de segurança tende a encolher. A recomendação unânime das equipes de resposta a incidentes é testar e aplicar o patch com urgência, antes que a prova de conceito vire pública.

Falha	Componente	CVSS	Perfil de risco
CVE-2026-44815	DHCP Client Service	9,8	RCE remoto, sem autenticação, em toda máquina Windows
CVE-2026-45657	Windows Kernel (TCP/IP)	9,8	RCE wormable, privilégio SYSTEM, sem clique
CVE-2026-47291	HTTP.sys	9,8	RCE remoto, mitigação via registro disponível
CVE-2026-41091	Microsoft Defender	7,8	Escalonamento de privilégio, já sob exploração ativa

O Defender já está sendo hackeado

Entre os zero-days do mês, o caso mais preocupante não é necessariamente o de nota mais alta, mas o único confirmado sob exploração ativa no mundo real. A CVE-2026-41091 afeta o Microsoft Defender e permite escalonamento de privilégio — ou seja, um atacante que já tenha um pé na máquina consegue subir para privilégios administrativos. O detalhe relevante é que a Microsoft creditou vários pesquisadores diferentes pela descoberta, o que especialistas interpretam como sinal de que a exploração está disseminada, conforme relatou a SecurityAffairs.

A boa notícia para o usuário comum é que o Defender se atualiza sozinho por padrão, então a maioria das máquinas já recebeu a correção. O problema fica para quem desativou as atualizações automáticas, roda em ambiente isolado ou mantém versões antigas do motor antivírus. Se esse é o seu caso, atualize manualmente o cliente agora. Vale lembrar que o tema do Defender como alvo é recorrente: o ataque GreatXML, que burla BitLocker via Defender Offline Scan, mostrou como o próprio antivírus pode virar porta de entrada.

Recorde de 208 falhas e IA

Junho de 2026 entrou para a história como o maior Patch Tuesday já registrado pela Microsoft. Os 208 CVEs superam o recorde anterior de 177, estabelecido no ano passado, e o volume acumulado em 2026 já ultrapassa tudo que a empresa corrigiu em todo o ano de 2018, segundo a ZDI. Somando os componentes de terceiros embutidos nos produtos Microsoft, como o Chromium do Edge, o total mensal salta para 571 vulnerabilidades.

Esse salto não é acidente. A imprensa especializada aponta a inteligência artificial como motor do crescimento: ferramentas de IA estão acelerando a descoberta de falhas em escala industrial. A reportagem “Blame AI”, da Dark Reading, descreve o fenômeno como “o novo normal” para as organizações. A própria ZDI levanta perguntas incômodas: quantas dessas falhas foram achadas com IA? Quantos patches foram gerados com auxílio de IA? Que problemas de qualidade podem existir nessas correções? A Microsoft ainda não respondeu a essas dúvidas publicamente.

O protesto dos zero-days vazados

Parte do volume recorde vem de uma tensão pública entre a Microsoft e o pesquisador conhecido como Nightmare Eclipse, que vem divulgando zero-days do Windows em protesto contra o programa de bug bounty da empresa. As falhas ganharam nomes pitorescos — GreenPlasma, YellowKey, BlueHammer, RedSun, UnDefend — e foram corrigidas neste Patch Tuesday. O The Register cobriu a escalada do conflito, e a Microsoft publicou um texto sobre divulgação coordenada de vulnerabilidades para tentar acalmar a situação.

Para o leitor brasileiro, o episódio reforça uma lição prática: quando um zero-day vaza publicamente antes do patch, a janela de risco real existe. Foi o caso do YellowKey, que bypassa BitLocker pelo WinRE, agora corrigido. E também da Bomba HTTP/2, que derruba servidores (CVE-2026-49160), outra falha deste mesmo mês. Manter o ciclo de atualização em dia deixou de ser tarefa de fim de mês para virar rotina diária.

O que fazer agora

O plano de ação para empresas e usuários brasileiros é direto. Primeiro, verifique se o Windows Update está ativo e se as atualizações de junho já foram instaladas — em ambientes corporativos, force a aplicação das KBs do Patch Tuesday nas estações e servidores. Segundo, priorize as três falhas CVSS 9,8 (DHCP, Kernel e HTTP.sys) na fila de correção, testando primeiro em ambiente controlado para evitar quebras de compatibilidade. Terceiro, confirme a configuração do Defender: atualizações automáticas do motor devem estar ligadas em todas as máquinas.

Para mitigar a CVE-2026-47291 (HTTP.sys) enquanto o patch é testado, a Microsoft liberou um script PowerShell e instruções de registro, conforme divulgou a CrowdStrike. Sistemas que usam o valor padrão de MaxRequestBytes no registro já estão protegidos contra essa falha específica. Já para a falha do DHCP, não há mitigação alternativa documentada: a única defesa é aplicar a atualização. Em redes grandes, segmentar o tráfego e isolar hosts não corrigidos reduz a superfície de um eventual worm. E, acima de tudo, não adie: o recorde de 208 falhas mostra que o volume só tende a crescer, e quem deixa para depois costuma aparecer nas estatísticas das próximas invasões.