Microsoft corrige 208 CVEs em Patch Tuesday recorde enquanto pesquisador divulga novo zero-day do Defender

A Microsoft lançou correções de segurança para 208 vulnerabilidades em 10 de junho de 2026, o maior Patch Tuesday desde a criação do programa há 23 anos. Poucas horas após a publicação das atualizações, um pesquisador conhecido como Nightmare Eclipse divulgou código de exploit funcional para uma vulnerabilidade de privilege escalation desconhecida no Windows Defender, deixando as equipes de segurança corporativa diante de um dos dias de patch mais desafiadores já registrados.

Uma falha wormable no kernel lidera a lista

A correção mais urgente deste mês é a CVE-2026-45657, uma vulnerabilidade use-after-free com CVSS 9.8 no Windows Kernel TCP/IP stack. A Microsoft a classifica como wormable: um atacante não autenticado pela internet pode enviar pacotes especialmente criados para um sistema vulnerável e obter execução de código em nível SYSTEM, sem credenciais e sem interação do usuário. Os sistemas afetados incluem Windows 11 versões 23H2 até 26H1 em x64 e ARM64, além de Windows Server 2022 e 2025 incluindo as instalações Server Core.

Ainda não existe exploit público confirmado para CVE-2026-45657, mas pesquisadores de segurança já estão fazendo reverse engineering do patch. Dado o perfil da vulnerabilidade, a janela até o surgimento de um exploit público confiável deve ser medida em dias, não semanas.

Seis zero-days, um sob exploração ativa

Entre os 208 CVEs estão seis zero-days, cinco dos quais já eram públicos antes dos patches de hoje. Um deles — CVE-2026-42897, uma vulnerabilidade de spoofing no Microsoft Exchange — estava sendo ativamente explorado em ataques reais antes da publicação do patch. Os outros zero-days notáveis incluem GreenPlasma (CVE-2026-45586), escalada de privilégios no Windows Collaborative Translation Framework; YellowKey (CVE-2026-45585) e Bitskrieg (CVE-2026-50507), ambas falhas de bypass do BitLocker; e HTTP/2 Bomb (CVE-2026-49160), uma vulnerabilidade de denial-of-service no HTTP.sys.

O total de 208 CVEs, contabilizado pelo pesquisador Dustin Childs da Trend Micro Zero Day Initiative, supera o recorde anterior de 167 CVEs em um único mês. Do total, 33 são de severidade Critical, sendo 28 falhas de remote code execution.

RoguePlanet: um novo zero-day do Defender no mesmo dia

Horas após a atualização da Microsoft, o Nightmare Eclipse — pesquisador que publicou uma série de zero-days no Windows nos últimos meses com nomes como BlueHammer, RedSun e GreenPlasma — divulgou o RoguePlanet, um novo exploit de local privilege escalation direcionado ao Microsoft Defender. A falha explora uma race condition na lógica interna de processamento de arquivos do Defender, permitindo que um usuário comum sem privilégios execute código controlado pelo atacante com privilégios SYSTEM em máquinas Windows 10 e Windows 11 completamente atualizadas.

O exploit não é 100% confiável — por ser uma race condition, as taxas de sucesso variam conforme a configuração de cada máquina — mas a ThreatLocker confirmou que funciona em sistemas Windows 11 com a atualização KB5094126 de junho instalada. Organizações que utilizam application allowlisting podem bloquear este vetor de ataque.

O Nightmare Eclipse mantém uma disputa pública contínua com a Microsoft sobre práticas de divulgação de vulnerabilidades e pagamentos de bug bounty. Após a Microsoft solicitar a remoção dos repositórios do pesquisador no GitHub e GitLab, o Nightmare Eclipse migrou para uma plataforma própria em projectnightcrawler.dev e continuou publicando exploits. O CVE para o RoguePlanet ainda não foi atribuído.

O que priorizar

As equipes de segurança devem agir rapidamente em relação à CVE-2026-45657 (a falha wormable no kernel TCP/IP) e à CVE-2026-42897 (o zero-day do Exchange sob ataque ativo) antes de tratar o restante do lote. Para a falha RoguePlanet no Defender, ainda não há patch disponível — application allowlisting e regras de detecção de endpoint são as medidas disponíveis enquanto a Microsoft trabalha em uma correção. Conforme relatado pelo BleepingComputer, a lista completa de CVEs e produtos afetados está disponível no Guia de Atualização de Segurança da Microsoft de junho de 2026.