Microsoft fecha junho com 200 correções e três zero-days, incluindo bypass do BitLocker e RCE no kernel do Windows

A Microsoft publicou nesta terça (9) o maior lote de correções de segurança do ano até aqui, com 200 vulnerabilidades fechadas em um único Patch Tuesday, três delas zero-days publicamente divulgadas antes do disclosure oficial. O número quebra a média móvel da Redmond e coloca pressão imediata sobre equipes de patching corporativo que já operam no limite após o ciclo de maio (120 CVEs) e abril (134 CVEs).

A mais grave do lote é a CVE-2026-45657, vulnerabilidade de use-after-free no kernel do Windows com CVSS 9.8, classificada como Critical e remotamente explorável sem autenticação e sem interação do usuário. A condição é alcançada por pacotes de rede maliciosos que disparam falha no processamento de dados TCP/IP, permitindo execução de código no nível do sistema. A Microsoft classifica a probabilidade de exploração como "menos provável", mas o perfil do bug, rede sem autenticação para SYSTEM, é exatamente o que arruína fim de semana de blue team. Os patches saem em KB5094126 (Windows 11 24H2 e 25H2), KB5093998 (Windows 11 23H2), KB5094125 (Windows Server 2025) e KB5094128 (Windows Server 2022).

Os três zero-days

A CVE-2026-50507 é um bypass de segurança no BitLocker que permite a um atacante com acesso físico ao dispositivo acessar dados criptografados. O vetor exige posse física do hardware, o que limita o universo de risco a notebooks corporativos perdidos, dispositivos confiscados em fronteira e máquinas descomissionadas sem wipe adequado. Para frotas globais de consultorias e bancos com viagem internacional de funcionários, é exatamente o tipo de risco que entra em compliance de viagem para territórios sensíveis.

A CVE-2026-45586 atinge o Collaborative Translation Framework do Windows e abre escalada de privilégio para SYSTEM. Já a CVE-2026-41091, no Microsoft Defender, foi confirmada como sob exploração ativa antes do disclosure oficial. A falha, batizada de RedSun por pesquisadores, é uma vulnerabilidade de link following no Microsoft Malware Protection Engine 1.1.26030.3008 e versões anteriores, com CVSS 7.8. A Microsoft já havia rodado o engine 1.1.26040.8 para corrigir o problema no canal de atualização contínua do Defender, e a CISA havia ordenado patching até 3 de junho para o FCEB. O patch consolidado no lote desta terça encerra a janela formal para clientes que mantêm controle manual do engine.

A conta de 33 críticas

Das 200 correções, 33 são classificadas como Critical pela Microsoft. Dentro desse subgrupo, 28 são execuções remotas de código, quatro são escaladas de privilégio e uma é divulgação de informação. A concentração em RCE rende a leitura mais incômoda para CISOs: a Microsoft está fechando um número alto de portas que, se exploradas, dispensam phishing ou movimentação lateral.

A leitura por região varia. Nos Estados Unidos, a Binding Operational Directive 22-01 da CISA obriga agências federais a remediar tudo que entrar na lista KEV em prazos fixos, e a CVE-2026-41091 do Defender já estava na lista. Equipes federais aplicam o lote consolidado em paralelo ao calendário regular. Na Europa, sob a NIS2 vigente desde o segundo semestre de 2024, operadores de serviços essenciais respondem em até 24 horas por incidentes ligados a vulnerabilidades não corrigidas em prazo razoável, métrica que tribunais alemães e franceses ainda calibram caso a caso. No Japão, o METI atualizou em fevereiro o guia de cibersegurança para empresas listadas, citando explicitamente CVEs de kernel do Windows como cenário de teste para resposta a incidente.

A prática que muda agora não é a aplicação do patch em si. O que muda é o tempo de janela entre disclosure e exploração em massa. Para a CVE-2026-45657, com vetor de rede e perfil de wormable potencial, a janela histórica em vulnerabilidades análogas (PrintNightmare em 2021, SMBGhost em 2020) ficou entre 48 horas e duas semanas antes do primeiro PoC público funcional. Times de patching que ainda operam em ciclo de 30 dias para servidores Windows estão escrevendo o cheque do próximo incidente sem saber. O que a Microsoft entregou nesta terça não é só um pacote: é um termômetro do quanto a maturidade de vulnerability management ainda anda atrás da velocidade de quem explora.