PT-2026-32883 · Microsoft · Windows 10+1

Publicado

2026-04-14

·

Atualizado

2026-06-30

·

CVE-2026-33824

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do Software Vulnerável e Versões Afetadas Microsoft Windows 10 versões 10.0.14393.0 até 10.0.14393.9059 Microsoft Windows 10 (versões afetadas não especificadas) Microsoft Windows 11 (versões afetadas não especificadas) Microsoft Windows Server versões 2012 até 2025
Descrição Uma falha de corrupção de memória do tipo double-free existe na Extensão Internet Key Exchange (IKE) do Windows. Este problema ocorre quando o serviço IKE processa atributos de extensão de fornecedor malformados durante a negociação de associação de segurança, levando a uma falha de sincronização na lógica de limpeza que tenta liberar o mesmo buffer de memória duas vezes. Um invasor remoto não autenticado pode explorar isso enviando pacotes de negociação IKEv2 especialmente criados para as portas UDP 500 ou 4500. A exploração bem-sucedida permite que o invasor sobrescreva ponteiros de função do kernel e execute código arbitrário com privilégios de SYSTEM sem interação do usuário. Esta falha é descrita como wormable e foi observada sendo utilizada por botnets de varredura automatizada para ignorar gateways de VPN e perímetros empresariais.
Recomendações Aplique as atualizações de segurança cumulativas do Patch Tuesday da Microsoft de abril de 2026 em todos os sistemas afetados do Windows 10, 11 e Server (2012–2025). Como solução temporária, desative o serviço IKEEXT (IKE and AuthIP IPsec Keying Modules). Restrinja o tráfego de entrada nas portas UDP 500 e 4500 para permitir apenas endereços IP de pares conhecidos e confiáveis.

Correção

RCE

DoS

Double Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-05343
CVE-2026-33824

Produtos afetados

Windows
Windows 10