Microsoft Corrige Mais de 200 Vulnerabilidades, Incluindo Seis 0-days Críticas
O "Patch Tuesday" de junho da Microsoft trouxe correções para mais de 200 vulnerabilidades, com destaque para seis falhas 0-day. Entre elas, uma exploração ativa no Exchange Server e problemas que permitiam bypass do BitLocker e execução remota de código.
MundiX News·11 de junho de 2026·5 min de leitura·👁 8 views
O "Patch Tuesday" de junho da Microsoft se destacou como um dos maiores dos últimos anos, com a gigante de tecnologia liberando correções para mais de 200 vulnerabilidades em seus produtos. A atualização abordou diversas falhas críticas, incluindo seis vulnerabilidades 0-day que já haviam sido divulgadas publicamente ou exploradas em ataques reais. Quase 40 dos bugs corrigidos foram classificados como críticos, com muitos permitindo a execução remota de código (RCE) ou a escalada de privilégios nos sistemas afetados.
Entre as correções mais significativas estão as de seis vulnerabilidades 0-day. A Microsoft classifica como 0-day não apenas falhas já exploradas em ataques, mas também aquelas cujas informações foram divulgadas publicamente antes da liberação de um patch oficial. Cinco das 0-days corrigidas em junho se enquadraram nesta segunda categoria, enquanto apenas uma já estava sendo ativamente explorada por cibercriminosos. Notavelmente, falhas descobertas pelo pesquisador de segurança Nightmare Eclipse, como a vulnerabilidade de escalada de privilégios GreenPlasma (CVE-2026-45586), o bypass do BitLocker YellowKey (CVE-2026-45585) e a MiniPlasma (CVE-2020-17103) – descrita como uma correção incompleta de uma falha antiga – foram abordadas. Além disso, a correção para a recente vulnerabilidade HTTP/2 Bomb (CVE-2026-49160), que afeta diversos servidores web populares como Nginx, Apache e IIS, foi incluída. Para mitigar ataques semelhantes, a Microsoft introduziu um novo parâmetro de registro, MaxHeadersCount, para limitar o número de cabeçalhos em requisições HTTP/2 e HTTP/3.
A atualização também corrigiu outra falha de bypass do BitLocker divulgada publicamente, a CVE-2026-50507, possivelmente relacionada à vulnerabilidade "bitskrieg" descoberta por Jonas Lykkegaard. Essa falha, assim como a YellowKey, permitia acesso a dados criptografados mediante acesso físico ao dispositivo. No entanto, um aviso foi emitido por Will Dormann, especialista em segurança, sobre possíveis erros de carregamento de chave BitLocker em alguns sistemas após a aplicação do patch. A única 0-day ativamente explorada corrigida foi a CVE-2026-42897 no Exchange Server, que permitia a execução de código JavaScript arbitrário via e-mails especialmente elaborados. Um patch completo para esta falha ainda está em desenvolvimento, com a Microsoft implementando medidas de mitigação temporárias através do Exchange Emergency Mitigation Service. Outras falhas críticas corrigidas incluem a CVE-2026-45657 no kernel do Windows, uma vulnerabilidade use-after-free com pontuação CVSS de 9.8, que permitia RCE com privilégios de sistema através de tráfego de rede malicioso. Duas outras vulnerabilidades RCE de alta gravidade, CVE-2026-47291 (HTTP.sys) e CVE-2026-44815 (DHCP Client), ambas com CVSS 9.8, também foram corrigidas, permitindo execução remota de código sem necessidade de credenciais ou interação do usuário. A Trend Micro Zero Day Initiative (ZDI) sugere que o aumento no volume de vulnerabilidades descobertas se deve, em parte, ao uso de inteligência artificial na busca por falhas, uma tendência que deve se intensificar no futuro.
O "Patch Tuesday" de junho da Microsoft se destacou como um dos maiores dos últimos anos, com a gigante de tecnologia liberando correções para mais de 200 vulnerabilidades em seus produtos. A atualização abordou diversas falhas críticas, incluindo seis vulnerabilidades 0-day que já haviam sido divulgadas publicamente ou exploradas em ataques reais. Quase 40 dos bugs corrigidos foram classificados como críticos, com muitos permitindo a execução remota de código (RCE) ou a escalada de privilégios nos sistemas afetados.
Entre as correções mais significativas estão as de seis vulnerabilidades 0-day. A Microsoft classifica como 0-day não apenas falhas já exploradas em ataques, mas também aquelas cujas informações foram divulgadas publicamente antes da liberação de um patch oficial. Cinco das 0-days corrigidas em junho se enquadraram nesta segunda categoria, enquanto apenas uma já estava sendo ativamente explorada por cibercriminosos. Notavelmente, falhas descobertas pelo pesquisador de segurança Nightmare Eclipse, como a vulnerabilidade de escalada de privilégios GreenPlasma (CVE-2026-45586), o bypass do BitLocker YellowKey (CVE-2026-45585) e a MiniPlasma (CVE-2020-17103) – descrita como uma correção incompleta de uma falha antiga – foram abordadas. Além disso, a correção para a recente vulnerabilidade HTTP/2 Bomb (CVE-2026-49160), que afeta diversos servidores web populares como Nginx, Apache e IIS, foi incluída. Para mitigar ataques semelhantes, a Microsoft introduziu um novo parâmetro de registro, MaxHeadersCount, para limitar o número de cabeçalhos em requisições HTTP/2 e HTTP/3.
A atualização também corrigiu outra falha de bypass do BitLocker divulgada publicamente, a CVE-2026-50507, possivelmente relacionada à vulnerabilidade "bitskrieg" descoberta por Jonas Lykkegaard. Essa falha, assim como a YellowKey, permitia acesso a dados criptografados mediante acesso físico ao dispositivo. No entanto, um aviso foi emitido por Will Dormann, especialista em segurança, sobre possíveis erros de carregamento de chave BitLocker em alguns sistemas após a aplicação do patch. A única 0-day ativamente explorada corrigida foi a CVE-2026-42897 no Exchange Server, que permitia a execução de código JavaScript arbitrário via e-mails especialmente elaborados. Um patch completo para esta falha ainda está em desenvolvimento, com a Microsoft implementando medidas de mitigação temporárias através do Exchange Emergency Mitigation Service. Outras falhas críticas corrigidas incluem a CVE-2026-45657 no kernel do Windows, uma vulnerabilidade use-after-free com pontuação CVSS de 9.8, que permitia RCE com privilégios de sistema através de tráfego de rede malicioso. Duas outras vulnerabilidades RCE de alta gravidade, CVE-2026-47291 (HTTP.sys) e CVE-2026-44815 (DHCP Client), ambas com CVSS 9.8, também foram corrigidas, permitindo execução remota de código sem necessidade de credenciais ou interação do usuário. A Trend Micro Zero Day Initiative (ZDI) sugere que o aumento no volume de vulnerabilidades descobertas se deve, em parte, ao uso de inteligência artificial na busca por falhas, uma tendência que deve se intensificar no futuro.
