Microsoft corrigiu 208 vulnerabilidades no Patch Tuesday de junho de 2026, o maior volume da história do programa. Três zero-days já eram explorados ou conhecidos publicamente antes da correção, incluindo uma falha crítica no kernel do Windows que permite execução remota de código sem autenticação.
Recorde histórico de CVEs
Os 208 CVEs corrigidos superam o recorde anterior de 177, estabelecido em 2025. Somados aos componentes Chromium e terceiros, o total mensal chega a 571 vulnerabilidades. Segundo o Zero Day Initiative, que acompanha os dados desde 2017, o volume acumulado em 2026 já ultrapassa tudo o que foi corrigido em todo o ano de 2018.
O aumento está ligado à adoção massiva de ferramentas de IA na descoberta de falhas, acelerando tanto a identificação quanto o volume de relatórios recebidos pela Microsoft.
Zero-days com exploração ativa
A flaw mais urgente é a CVE-2026-41091 (CVSS 7.8), uma elevação de privilégio no Microsoft Defender confirmada como explorada ativamente. Como o Defender se atualiza automaticamente, a maioria dos sistemas já está protegida — exceto ambientes isolados ou com atualizações desativadas.
Outras duas falhas conhecidas publicamente antes do patch incluem a CVE-2026-45586, escalada de privilégio para SYSTEM no Windows Collaborative Translation Framework, e a CVE-2026-50507, bypass do BitLocker com acesso físico.
Falhas críticas wormable
A CVE-2026-45657 (CVSS 9.8) permite que um atacante remoto execute código em nível SYSTEM sem autenticação ou interação do usuário, explorando o processamento TCP/IP do kernel do Windows. O perfil é wormable — capaz de se propagar automaticamente entre máquinas vulneráveis.
A CVE-2026-47291 (CVSS 9.8) atinge o HTTP.sys com o mesmo perfil de ataque: remoto, sem autenticação, sem interação. Sistemas com o valor padrão de MaxRequestBytes no registro não são afetados, mas a Microsoft sinalizou “exploração mais provável”.
A CVE-2026-44815 (CVSS 9.8) explora o DHCP Client Service — presente em toda instalação Windows — permitindo potencialmente execução remota de código sem autenticação.
| CVE | CVSS | Componente | Tipo | Urgência |
|---|---|---|---|---|
| CVE-2026-41091 | 7.8 | Microsoft Defender | Elevação de privilégio | Exploração ativa |
| CVE-2026-45657 | 9.8 | Windows Kernel (TCP/IP) | RCE remoto | Wormable |
| CVE-2026-47291 | 9.8 | HTTP.sys | RCE remoto | Exploração provável |
| CVE-2026-44815 | 9.8 | DHCP Client Service | RCE remoto | Alta |
| CVE-2026-45586 | — | CTFMON Framework | Elevação de privilégio | Divulgada publicamente |
| CVE-2026-50507 | — | BitLocker | Bypass com acesso físico | Divulgada publicamente |
Secure Boot e patches de IA
Dez patches de Secure Boot merecem atenção especial: a exploração extrapola o componente vulnerável e compromete a integridade do boot, o Virtual Secure Mode e a execução pré-SO. Creditados ao pesquisador Alon Leviev, conhecido pelo trabalho em ataques ao Secure Boot, dois bugs UEFI permitem executar código não confiável antes do carregamento do sistema — cenário ideal para rootkits.
O lote também inclui correções em ferramentas de IA da Microsoft, reflexo da superfície de ataque crescente nessa categoria. Como destaca o Patch Tuesday anterior, o volume elevado pode ser o “novo normal” para administradores de sistemas.
O que fazer agora
Priorize a implantação imediata das correções para as três CVEs com CVSS 9.8 (kernel TCP/IP, HTTP.sys e DHCP), especialmente em servidores expostos à internet. Verifique o valor de MaxRequestBytes no registro como mitigação temporária para a CVE-2026-47291. Em ambientes onde o Defender não atualiza automaticamente, force a atualização manual para bloquear a CVE-2026-41091. Teste os patches de Secure Boot em laboratório antes de aplicar em produção — mudanças no boot requerem validação cuidadosa.