A Microsoft publicou ontem atualizações para quase 200 vulnerabilidades em seus sistemas Windows e softwares suportados, um recorde no ciclo mensal de Patch Tuesday. Um total de de 35 dessas falhas receberam a classificação “crítica”, e o exploit para pelo menos três delas está disponível. Entre os zero days corrigidos está o CVE-2026-49160 (CVSS 7.5), uma vulnerabilidade de negação de serviço que afeta servidores web, incluindo o IIS da Microsoft, descoberto pelo Codex, da OpenAI, segundo a própria Microsoft.
Dois zero days corrigidos ontem parecem ter origem em divulgações recentes de um pesquisador conhecido como Nightmare Eclipse, que se diz ex-funcionário da Microsoft. Um deles, apelidado de “GreenPlasma”, explora uma falfa de elevação de privilégio no Windows Collaborative Translation Framework (CVE-2026-45586). O outro, “YellowKey”, é um exploit para uma vulnerabilidade no BitLocker que permite a um invasor com acesso físico visualizar dados criptografados (CVE-2026-50507). A Microsoft não creditou o pesquisador nos avisos dessas CVEs, afirmando apenas que “reconhece os esforços daqueles na comunidade de segurança”.
Exploit público para Windows Defender acelera urgência de patches
Imediatamente após o lançamento das correções pela Microsoft, Nightmare Eclipse publicou um exploit para o que afirmou ser uma vulnerabilidade zero day no Windows Defender, batizada de RoguePlanet. O código, disponível no GitHub, explora uma condição no Defender e, quando bem-sucedido, abre uma shell com privilégios de SYSTEM, escreveu o pesquisador no repositório. O exploit foi testado no Windows 10 e Windows 11 (canal oficial e Canary) com o patch de junho de 2026 instalado, e o autor afirma que todas as versões do Windows Server também são vulneráveis, embora o Proof of Concept (PoC) publicado não funcione nesses sistemas devido à impossibilidade de usuários padrão montarem imagens ISO.
O volume recorde de patches de ontem pode ser atribuído ao uso crescente de ferramentas de inteligência artificial para descoberta de falhas, afirmou o engenheiro sênior da Tenable, Satnam Narang, ao jornalista Brian Krebs. “Algumas pesquisas colocam o uso de IA entre profissionais de segurança em 90%, então não é surpreendente que este volume de patches possa ser a norma”, disse Narang. A Microsoft já havia indicado em um artigo no mês passado que tanto seus engenheiros quanto a comunidade de segurança estão cada vez mais usando IA para encontrar bugs.
Ameaças emergentes e novas táticas de divulgação
Nightmare Eclipse prometeu lançar ainda mais exploits para zero-days do Windows em uma divulgação que chamou de “devastadora”, planejada para 14 de julho (o mesmo dia do Patch Tuesday do próximo mês), informou Brian Krebs. O pesquisador alega ter sido ex-funcionário da Microsoft, embora a empresa não tenha respondido a perguntas sobre essa alegação. A empresa Rapid7 observou que uma recente postagem de Nightmare Eclipse incluía uma imagem de Albert Wesker, personagem da série de jogos Resident Evil, que anteriormente trabalhava como pesquisador para uma empresa de tecnologia antes de se tornar “renegado”, segundo o artigo.
A Microsoft também corrigiu uma vulnerabilidade zero day no Visual Studio Code que permite a invasores roubarem tokens do GitHub com um único clique. A empresa foi forçada a publicar uma correção provisória em 3 de junho, depois que um pesquisador publicou instruções mostrando como explorar a falha. O pesquisador disse que optou por não trabalhar com a Microsoft devido a uma experiência recente em que a empresa corrigiu silenciosamente uma falha relatada sem oferecer crédito ou reconhecimento. A Microsoft enfrentou suas próprias emergências internas de zero day na semana passada, depois que pelo menos 73 dos repositórios públicos de código da empresa foram infectados com uma variante do worm Shai-Hulud, com todos os pacotes afetados conectados ao SDK oficial do Azure Durable Task, que já havia sido atingido pelo mesmo worm em maio.
