Resumo
A Microsoft lançou nesta terça-feira, 10 de junho de 2026, correções para um recorde de 206 vulnerabilidades, incluindo 39 classificadas como críticas e três zero-days divulgados publicamente. Uma falha no Windows Defender já é explorada ativamente por atacantes, segundo a empresa, que também corrigiu falhas críticas no kernel, HTTP.sys e cliente DHCP do Windows.
O Patch Tuesday de junho de 2026 superou o recorde anterior de 175 vulnerabilidades, registrado em outubro de 2025. Das 206 falhas, 56 permitem execução remota de código, 63 são escalação de privilégios e 20 são bypass de recursos de segurança.
Zero-day ativo no Defender
A vulnerabilidade CVE-2026-41091, uma falha de escalação de privilégios no Microsoft Defender, já está sendo explorada ativamente. O atacante que explora essa falha obtém privilégios de SYSTEM na máquina comprometida. A Microsoft corrigiu o problema atualizando o Malware Protection Engine, distribuído automaticamente via definições diárias do Defender. Um zero-day anterior no Defender, o RoguePlanet, também havia sido divulgado recentemente.
Três zero-days foram divulgados publicamente antes do patch: CVE-2026-45586 (escalação de privilégios no CTFMON, CVSS 7.8), CVE-2026-49160 (negação de serviço no HTTP.sys, CVSS 7.5) e CVE-2026-50507 (bypass do BitLocker). O CVE-2026-49160 está ligado ao ataque HTTP/2 Bomb, capaz de derrubar servidores IIS em segundos ao esgotar memória.
| CVE | Componente | CVSS | Status |
|---|---|---|---|
| CVE-2026-41091 | Windows Defender | — | Exploração ativa |
| CVE-2026-45657 | Windows Kernel | 9.8 | RCE via rede |
| CVE-2026-47291 | HTTP.sys | 9.8 | RCE via rede |
| CVE-2026-44815 | DHCP Client | 9.8 | RCE via rede |
| CVE-2026-45586 | CTFMON | 7.8 | Zero-day público |
| CVE-2026-49160 | HTTP.sys | 7.5 | Zero-day público |
| CVE-2026-50507 | BitLocker | 6.8 | Zero-day público |
Falhas críticas de RCE
Entre as falhas mais graves está a CVE-2026-45657 (CVSS 9.8), uma vulnerabilidade use-after-free no kernel do Windows que permite execução remota de código via tráfego de rede malicioso. O atacante envia pacotes TCP/IP especialmente criados que exploram a forma como o kernel processa dados de rede, permitindo execução de código com privilégios de sistema sem necessidade de autenticação.
A CVE-2026-44815 (CVSS 9.8) é um buffer overflow baseado em pilha no cliente DHCP do Windows. Segundo Alex Vovk, CEO da Action1, a falha não requer credenciais ou interação do usuário e pode transformar tráfego de rede em comprometimento total do sistema. Como o DHCP é uma função de rede essencial, a exploração pode levar a comprometimento de servidores, implantação de malware e movimentação lateral na rede.
A CVE-2026-47291 (CVSS 9.8) é um integer overflow no HTTP.sys que permite execução remota de código por atacantes não autenticados via rede.
Bypass do BitLocker corrigido
A Microsoft corrigiu múltiplas vulnerabilidades de bypass do BitLocker, incluindo a CVE-2026-45585, para a qual o pesquisador Chaotic Eclipse publicou um proof-of-concept chamado YellowKey. Outra falha, CVE-2026-50507, corrige o bypass apelidado bitskrieg, que concede acesso total a dados criptografados em máquinas com acesso físico. Todas exigem acesso físico ao dispositivo alvo. Falhas anteriores no BitLocker também haviam sido corrigidas pela Microsoft em patches recentes.
O pesquisador também divulgou o RoguePlanet, proof-of-concept para outra zero-day no Microsoft Defender que explora uma condição de corrida para abrir um prompt de comando com privilégios SYSTEM. A Microsoft incluiu a correção deste pacote de atualizações de junho.
Prioridade de atualização
- Windows Defender (CVE-2026-41091) — prioridade máxima pela exploração ativa; o patch já foi distribuído via definições automáticas, verifique a versão do engine
- DHCP Client (CVE-2026-44815) — prioridade alta em servidores e estações com DHCP habilitado, sem necessidade de autenticação para exploração
- Windows Kernel e HTTP.sys (CVE-2026-45657, CVE-2026-47291) — prioridade alta para sistemas expostos à rede
- BitLocker (CVE-2026-45585, CVE-2026-50507) — prioridade para dispositivos móveis e estações com acesso físico restrito
- HTTP/2 Bomb (CVE-2026-49160) — configure o novo registro MaxHeadersCount introduzido pela Microsoft para limitar cabeçalhos HTTP/2 e HTTP/3