Três zero-days com exploração confirmada
A Microsoft lançou na terça-feira (9) o Patch Tuesday de junho de 2026, corrigindo 198 vulnerabilidades em produtos Windows, Office, Azure e outros — o maior lote do ano até agora. Assim como no Patch Tuesday de junho anterior que corrigiu 200 falhas e três zero-days, deste total, 32 foram classificadas como críticas, 166 como importantes e três são zero-days já explorados ou divulgados publicamente antes da correção. As equipes de segurança devem priorizar BitLocker, HTTP.sys, Remote Desktop e Hyper-V.
Zero-days que exigem atenção imediata
Os três zero-days deste ciclo representam vetores distintos de ataque:
- CVE-2026-50507 — Bypass do BitLocker. Um atacante com acesso físico ou local pode contornar a criptografia de disco inteiro, invalidando a proteção considerada última linha de defesa em dispositivos perdidos ou roubados.
- CVE-2026-49160 — Negação de serviço no HTTP.sys. Afeta a pilha HTTP/2 usada pelo IIS e outros serviços de rede. Um fluxo de requisições malicioso pode derrubar servidores web expostos à internet.
- CVE-2026-45586 — Vulnerabilidade divulgada antes do patch, com detalhes técnicos em circulação entre atacantes.
Remote Desktop e Hyper-V lideram RCEs
Das 54 vulnerabilidades de execução remota de código (RCE), o Remote Desktop Client concentra o maior cluster: 11 CVEs, sendo quatro classificadas como críticas (CVE-2026-44801, CVE-2026-44799, CVE-2026-42992 e CVE-2026-42985). O Windows Hyper-V recebeu três RCEs críticas (CVE-2026-47652, CVE-2026-45641 e CVE-2026-45607) que permitem escape de máquina virtual e execução no host. O Active Directory também foi atingido, com RCEs críticas no Kerberos KDC (CVE-2026-47288) e nos Domain Services (CVE-2026-45648).
Distribuição por tipo de vulnerabilidade
| Tipo | Quantidade |
|---|---|
| Elevação de privilégio | 63 |
| Execução remota de código | 54 |
| Spoofing | 27 |
| Divulgação de informação | 26 |
| Bypass de funcionalidade de segurança | 18 |
| Negação de serviço | 7 |
| Violação (Tampering) | 3 |
| Total | 198 |
O ciclo ainda inclui 8 patches de bypass do Secure Boot, indicando investimento contínuo de atacantes em comprometer a integridade do processo de boot. O Microsoft Office recebeu correções críticas em Outlook e Word, exploráveis via documentos maliciosos. Este volume segue a tendência do Patch Tuesday recorde que corrigiu 208 falhas e três zero-days.
O que fazer agora
Aplique as atualizações prioritariamente em servidores com IIS exposto à internet (HTTP.sys), hosts Hyper-V, controladores de domínio Active Directory e estações com BitLocker ativo. Para ambientes onde o patch imediato não é viável, restrinja a exposição RDP via VPN, segmente a rede para isolar hosts Hyper-V e habilite monitoramento de logs de boot para detectar tentativas de bypass do BitLocker. O Azure Kubernetes Service (CVE-2026-32193) também deve ser tratado com urgência em ambientes cloud.