A Microsoft corrigiu 206 vulnerabilidades no Patch Tuesday de junho de 2026 — o maior número já divulgado em um único ciclo. Três dessas falhas já tinham detalhes técnicos vazados antes da correção, e 39 foram classificadas como críticas. As mais graves, no kernel do Windows e no DHCP, permitem execução remota de código pela rede sem senha nem interação do usuário. Todo servidor e PC Windows precisa de atualização imediata.
Resumo: o que precisa saber
Pontos-chave:
- Recorde histórico: 206 falhas corrigidas em um único Patch Tuesday.
- 3 zero-days com detalhes vazados: BitLocker, HTTP.sys e CTFMON.
- Falhas CVSS 9.8 permitem invasão pela rede sem credenciais.
- DHCP e TCP/IP: basta estar conectado à rede para ser alvo.
- BitLocker sofreu três burlas diferentes, com prova de conceito pública.
O recorde de junho de 2026
O Patch Tuesday de 10 de junho de 2026 entrou para a história. A Microsoft lançou correções para 206 vulnerabilidades, superando qualquer mês anterior. Desses, 39 foram classificadas como críticas e 167 como importantes, segundo o The Hacker News. A distribuição técnica é reveladora do campo de batalha atual: 63 falhas de escalonamento de privilégios, 56 de execução remota de código, 30 de divulgação de informação, 27 de falsificação e 20 de burla de recursos de segurança.
Esse volume não é acidente. A Microsoft passou a usar ferramentas de inteligência artificial na auditoria de código, o que aumenta a detecção — e, segundo o Eastern Herald, é uma das razões pelas quais o número de CVEs cresce a cada trimestre. Mais falhas encontradas significa mais trabalho para administradores e mais pressão sobre prazos de remediação.
As falhas mais perigosas (CVSS 9.8)
Cinco vulnerabilidades receberam nota máxima de gravidade (CVSS 9.8) e merecem atenção imediata. Todas compartilham um traço aterrorizante: exploram o sistema pela rede, sem exigir que o atacante conheça uma senha ou que a vítima clique em algo.
| CVE | Componente afetado | Impacto | Exige senha? |
|---|---|---|---|
| CVE-2026-45657 | Kernel do Windows (TCP/IP) | Execução remota de código | Não |
| CVE-2026-47291 | HTTP.sys | Execução remota de código | Não |
| CVE-2026-44815 | Cliente DHCP do Windows | Execução remota de código | Não |
| CVE-2026-41089 | Controladores de domínio | Controle total da rede corporativa | Não |
| CVE-2026-26142 | PowerScribe 360 / One (saúde) | Execução remota de código | Não |
A deserialização no CVE-2026-26142 é particularmente inquietante: atinge softwares de ditado médico usados em hospitais, onde uma invasão pode comprometer laudos, prontuários e a continuidade do atendimento. A Hackread ressalta que hospitais estão entre os alvos mais visados por ransomware no mundo.
DHCP: invasão sem senha é real
A falha CVE-2026-44815 merece destaque próprio. Ela afeta o cliente DHCP do Windows — o serviço que atribui endereços de rede automaticamente — por meio de um estouro de buffer baseado em pilha. Alex Vovk, CEO da Action1, descreveu o cenário com clareza: um atacante envia tráfego de rede especialmente elaborado para um sistema com DHCP ativo e obtém execução de código não autorizada, com alto impacto na confidencialidade, integridade e disponibilidade. Nenhuma credencial é necessária, nenhuma ação do usuário é exigida.
O DHCP é função central de praticamente toda rede corporativa brasileira. Em redes Wi-Fi públicas, escritórios compartilhados e data centers, um invasor posicionado na mesma rede pode transformar pacotes de rede em comprometimento total do servidor. Sistemas que lidam com tráfego DHCP devem ser tratados como alvos de correção de alta prioridade.
Kernel TCP/IP: ataque sem interação
A CVE-2026-45657 explora uma condição de use-after-free no kernel do Windows. O atacante envia tráfego de rede especialmente elaborado para um sistema vulnerável e, se tiver êxito, os pacotes maliciosos acionam uma falha no processamento de dados TCP/IP que pode permitir a execução de código com privilégios de sistema. Segundo a própria Microsoft, o ataque funciona sem que o invasor precise autenticar-se ou interagir com o usuário.
As versões afetadas incluem Windows 11 e Windows Server 2022/2025, tanto em x64 quanto em ARM64. Para quem administra infraestrutura, isso significa que servidores expostos à internet ou a redes internas amplas estão sob risco direto. O tráfego malicioso chega silenciosamente e a exploração pode ocorrer antes mesmo de qualquer alerta de monitoramento.
Os três zero-days já vazados
O elemento mais urgente deste Patch Tuesday são três vulnerabilidades cujos detalhes técnicos foram divulgados publicamente antes de a Microsoft liberar a correção. Em termos práticos, isso significa que atacantes já sabiam exatamente onde e como atacar enquanto a maioria dos sistemas ainda não tinha o patch.
- CVE-2026-50507: burla do BitLocker apelidada “bitskrieg”, que dá acesso completo a dados criptografados a quem tiver acesso físico à máquina.
- CVE-2026-45586: escalonamento de privilégios no serviço CTFMON do Windows, com exploit público chamado “GreenPlasma”.
- CVE-2026-49160: negação de serviço no HTTP.sys ligada à técnica HTTP2/Bomb, capaz de derrubar servidores web em segundos.
A pressão sobre servidores é real. Em testes com a técnica HTTP2/Bomb, um servidor IIS esgotou 64 GB de memória RAM em cerca de 45 segundos, conforme relatado pelo pesquisador Calif. Para mitigar, a Microsoft introduziu uma nova configuração de registro chamada “MaxHeadersCount”, que limita o número de cabeçalhos em requisições HTTP/2 e HTTP/3.
BitLocker finalmente perdeu a chave
Junho trouxe más notícias para quem confia no BitLocker como última linha de defesa. A Microsoft corrigiu três burlas separadas do recurso de criptografia de disco: YellowKey (CVE-2026-45585), bitskrieg (CVE-2026-50507) e MiniPlasma, esta última uma correção incompleta para a CVE-2020-17103, originalmente tratada em dezembro de 2020. Todas exigem acesso físico ao equipamento, mas isso é exatamente o cenário de notebooks roubados, descarte indevido de hardware e acessos internos maliciosos.
O pesquisador Chaotic Eclipse publicou provas de conceito para várias dessas falhas. Com o código em aberto, a janela entre quem atualiza e quem adia passa a contar em dias, não em semanas.
Risco real para o Brasil
O Windows domina completamente o parque de computadores e servidores das empresas brasileiras. Segurança de redes corporativas no país ainda depende fortemente de correções manuais, com ciclos de atualização lentos em PMEs e órgãos públicos. Falhas que exploram DHCP e TCP/IP sem credenciais são especialmente perigosas em ambientes onde a segmentação de rede é fraca ou inexistente — um problema crônico em escritórios, clínicas e prefeituras.
Some-se a isso o fato de que três zero-days tinham código público circulando antes do patch. Atacantes que operam ransomware e sequestradores de dados sabem que a janela pós-divulgação é o momento mais lucrativo: sistemas desatualizados são alvos fáceis e previsíveis. Conforme mostramos ao analisar o zero-day RoguePlanet no Microsoft Defender, a própria ferramenta de proteção da Microsoft já foi alvo de falhas críticas — o que torna a atualização do sistema base ainda mais urgente.
Como atualizar e se proteger agora
A remediação começa pelo básico, mas precisa ser feita com método:
- Aplique o patch imediatamente em todos os Windows 10, Windows 11 e Windows Server. Priorize servidores expostos à internet e máquinas em redes compartilhadas.
- Revise controladores de domínio primeiro — a CVE-2026-41089 dá controle total sobre identidades corporativas.
- Ative a nova proteção HTTP/2 configurando o MaxHeadersCount no registro de servidores IIS e aplicações web internas.
- Monitorize tráfego de rede suspeito em busca de padrões anômalos de DHCP e TCP/IP. Ferramentas de captura e análise como o tcpdump ajudam a identificar tentativas de exploração em andamento.
- Planeje a rotação de credenciais em servidores que ficaram desprotegidos durante a janela de vazamento dos zero-days.
Empresas com muitos endpoints devem considerar plataformas de gestão de patches automatizadas para evitar que máquinas esquecidas virem portas de entrada. Em redes com segmentação fraca, isolar servidores críticos em VLANs separadas reduz drasticamente a superfície de ataque das falhas que dependem de tráfego de rede.
O recado para administradores
Um Patch Tuesday recorde não é motivo de pânico, mas é um sinal claro: a janela entre descoberta, vazamento e correção está encolhendo, e o atacante sabe disso. Os três zero-days com código público provam que esperar “mais alguns dias” para atualizar deixou de ser uma opção aceitável. A diferença entre uma rede segura e uma rede comprometida, hoje, pode ser apenas o calendário de atualizações.
Referências
- The Hacker News — Microsoft Patches Record 206 Flaws, Including Three Zero-Days
- Hackread — Microsoft June 2026 Patch Tuesday Fixes 206 Flaws and 3 Zero-Days
- Eastern Herald — Microsoft June 2026 Patch Tuesday: Record 206 CVEs, 3 Zero-Days
- CISA — Known Exploited Vulnerabilities Catalog (junho de 2026)