Patch Tuesday recorde da Microsoft corrige 200 CVEs e expõe zero-day do Defender em uso
Maior atualização da história do programa traz seis zero-days, um deles, CVE-2026-41091, com exploração ativa confirmada no Microsoft Defender. CISA já mandou agências federais aplicarem o pacote.
A Microsoft publicou em 10 de junho o maior Patch Tuesday desde o início do programa em 2003. Foram 200 vulnerabilidades corrigidas em uma única leva, incluindo 33 classificadas como críticas, 28 delas de execução remota de código. O lote também trouxe seis zero-days divulgados publicamente, um com exploração ativa confirmada.
A falha sob ataque é a CVE-2026-41091, uma escalada de privilégio no Microsoft Defender com CVSS 7.8. O bug permite que um invasor com acesso local execute código no nível SYSTEM por meio de uma manipulação de links de arquivo no Malware Protection Engine, segundo o boletim da Microsoft. A própria empresa atualiza o componente automaticamente, mas o CISA adicionou a CVE ao catálogo Known Exploited Vulnerabilities e exigiu que as agências federais americanas aplicassem a versão 1.1.26040.8 do engine antes de 3 de junho, prazo já vencido.
A pilha de RCE crítica
Duas falhas dominaram a leitura de risco fora do Defender. A CVE-2026-45657, no kernel do Windows 11 e Windows Server, é uma execução remota de código com CVSS 9.8 explorável sem autenticação por meio de uma falha no tratamento de TCP/IP, segundo nota da Microsoft. Não há interação do usuário envolvida. A CVE-2026-44815, no serviço DHCP Client, recebeu o mesmo CVSS 9.8 e atinge clientes Windows em rede. Operadores de SOC tendem a priorizar essas duas: ambas têm o perfil de bug que rapidamente vira lateral movement em ambientes corporativos.
A Zero Day Initiative, da Trend Micro, descreveu o lote como um novo normal. "Mais de 200 CVEs corrigidas em uma única terça é o tipo de evento que tira capacity dos times de resposta", escreveu Dustin Childs no blog da ZDI publicado em 9 de junho. Childs notou ainda que 32 das críticas concentram-se em RCE, o que altera a matriz de risco em ambientes Active Directory e VPN ainda apoiados em Windows Server.
Zero-days públicos e o RoguePlanet ao lado do patch
Além da CVE-2026-41091, a Microsoft sinalizou cinco zero-days divulgados publicamente sem exploração observada até agora. A lista inclui a CVE-2026-45586, escalada de privilégio no Windows Collaborative Translation Framework que entrega SYSTEM ao atacante, e a CVE-2026-49160, batizada pelos pesquisadores de HTTP/2 Bomb, um vetor de negação de serviço no stack HTTP/2 do Windows e do IIS. A CVE-2026-50507, no BitLocker, exige acesso físico ao dispositivo, mitigador relevante para frotas corporativas, mas crítico para perdas e roubos.
No mesmo 10 de junho em que o pacote saiu, um pesquisador identificado como Nightmare Eclipse publicou um proof-of-concept chamado RoguePlanet para uma race condition no Windows Defender que abre um shell rodando como SYSTEM. Esse PoC não está coberto pelas correções de junho, segundo aviso da Help Net Security. Equipes de detecção precisam tratar o anúncio como ampliação imediata da superfície de exploração, especialmente em ambientes com endpoints não atualizados.
Onde a conta cai
O tamanho do lote pesa mais que qualquer CVE individual. Em janeiro, a Microsoft havia corrigido 112 CVEs no primeiro Patch Tuesday do ano, segundo o Computer Weekly. Junho quase dobrou esse volume e quebrou o recorde anterior do programa, em vigor desde 2003. Para times de SOC em ambientes regulados, principalmente bancos e seguradoras europeus com SLA agressivo de patch crítico, a janela de manutenção fora de calendário virou inevitável.
Nos Estados Unidos, a Binding Operational Directive 22-01 obriga as agências federais a aplicar correções de CVEs no catálogo KEV em prazos curtos. No Reino Unido, o NCSC orienta operadores de infraestrutura crítica a tratar zero-days do Windows como prioridade um quando há confirmação de uso ativo. Em mercados de offshoring intensivo, como Índia e Polônia, os Acceleration Centers e shared services hubs das Big 4 e dos tier-1 banks tendem a propagar a janela de manutenção para América Latina, Brasil incluído, em até 72 horas, o que aperta times locais de bancos e operações de BPO contratantes.
A peculiaridade dessa rodada é o anúncio simultâneo do RoguePlanet. CVE corrigida e PoC público no mesmo dia transformam o ciclo de patch em cálculo binário, instalar antes que a próxima rodada de ransomware integre o exploit. Para times europeus que ainda gerenciam o aftermath do incidente Qilin contra o VPN da Check Point, divulgado em 8 de junho e ligado à CVE-2026-50751, a tranquilidade das próximas 48 horas é improvável.