Uma vulnerabilidade zero-day rastreada como CVE-2026-50507 permite que atacantes com acesso físico contornem a criptografia BitLocker em dispositivos Windows. A Microsoft divulgou a falha em 9 de junho de 2026 junto com as correções do Patch Tuesday. O problema afeta Windows 10, 11 e versões Server.
Como o bypass funciona
A vulnerabilidade explora uma ausência de autenticação em uma função crítica do BitLocker, catalogada como CWE-306 (Missing Authentication for Critical Function). Isso significa que uma operação sensível do mecanismo de proteção pode ser executada sem verificação de identidade do usuário.
O vetor exige acesso físico ao dispositivo — um notebook roubado ou uma estação desacompanhada. O invasor se aproveita da lacuna de autenticação para contornar a criptografia do volume e acessar dados que deveriam estar protegidos em repouso.
A pontuação CVSS v3.1 é 6,8 (“Importante”), com vetor local de complexidade baixa, sem necessidade de privilégios ou interação do usuário. Configurações que dependem exclusivamente do TPM para desbloqueio são as mais expostas, pois a posse física do dispositivo pode ser suficiente para acessar o conteúdo.
Versões do Windows afetadas
A falha atinge praticamente todas as versões suportadas do Windows. A tabela resume os sistemas e as atualizações correspondentes:
| Sistema | KB | Build |
|---|---|---|
| Windows 10 (21H2, 22H2) | KB5094127 | 10.0.19044/45.7417 |
| Windows 10 (1607) | KB5094122 | 10.0.14393.9234 |
| Windows 10 (1809) | KB5094123 | 10.0.17763.8880 |
| Windows 11 (23H2) | KB5093998 | 10.0.22631.7219 |
| Windows 11 (24H2, 25H2, 26H1) | KB5094126 / KB5095051 | 10.0.26100+ |
| Windows Server 2012 R2 | KB5094041 | 6.3.9600.23228 |
| Windows Server 2016 | KB5094122 | 10.0.14393.9234 |
| Windows Server 2019 | KB5094123 | 10.0.17763.8880 |
| Windows Server 2022 | KB5094128 | 10.0.20348.5256 |
| Windows Server 2025 | KB5094126 | 10.0.26100.8655 |
Risco real de exploração
A Microsoft classificou o índice de explorabilidade como “Exploração Mais Provável”. A falha foi divulgada publicamente antes do patch, elevando o risco. Embora não haja evidências de exploração ativa no lançamento, código de prova de conceito circula em canais de segurança, o que historicamente acelera ataques reais.
O requisito de acesso físico limita o escopo, mas não elimina a ameaça. Notebooks corporativos perdidos, estações em ambientes compartilhados e servidores em data centers com controle deficiente são cenários viáveis. Em combinação com vulnerabilidades de escalação como o zero-day RoguePlanet no Defender, um atacante remoto pode obter acesso local e depois explorar o bypass do BitLocker.
Medidas de proteção imediatas
Equipes de segurança devem aplicar as atualizações do Patch Tuesday de junho de 2026 em todas as estações e servidores. Além da correção, recomenda-se:
- Migrar configurações BitLocker de TPM-only para TPM+PIN, exigindo autenticação no boot
- Verificar o estado do BitLocker após o patch com
manage-bde -status - Rever políticas de controle físico de dispositivos, especialmente ativos remotos
- Rastrear sistemas que não podem ser atualizados imediatamente e aplicar controles compensatórios
- Incluir dispositivos perdidos nos playbooks de resposta a incidentes com revogação de credenciais