PT-2026-32883 · Microsoft · Windows 10+1
Publicado
2026-04-14
·
Atualizado
2026-06-30
·
CVE-2026-33824
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
Microsoft Windows 10 versões 10.0.14393.0 até 10.0.14393.9059
Microsoft Windows 10 (versões afetadas não especificadas)
Microsoft Windows 11 (versões afetadas não especificadas)
Microsoft Windows Server versões 2012 até 2025
Descrição
Uma falha de corrupção de memória do tipo double-free existe na Extensão Internet Key Exchange (IKE) do Windows. Este problema ocorre quando o serviço IKE processa atributos de extensão de fornecedor malformados durante a negociação de associação de segurança, levando a uma falha de sincronização na lógica de limpeza que tenta liberar o mesmo buffer de memória duas vezes. Um invasor remoto não autenticado pode explorar isso enviando pacotes de negociação IKEv2 especialmente criados para as portas UDP 500 ou 4500. A exploração bem-sucedida permite que o invasor sobrescreva ponteiros de função do kernel e execute código arbitrário com privilégios de SYSTEM sem interação do usuário. Esta falha é descrita como wormable e foi observada sendo utilizada por botnets de varredura automatizada para ignorar gateways de VPN e perímetros empresariais.
Recomendações
Aplique as atualizações de segurança cumulativas do Patch Tuesday da Microsoft de abril de 2026 em todos os sistemas afetados do Windows 10, 11 e Server (2012–2025).
Como solução temporária, desative o serviço
IKEEXT (IKE and AuthIP IPsec Keying Modules).
Restrinja o tráfego de entrada nas portas UDP 500 e 4500 para permitir apenas endereços IP de pares conhecidos e confiáveis.Correção
RCE
DoS
Double Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Windows
Windows 10