Qualquer máquina Windows não patchada na sua rede pode ser comprometida via SMB ou RDP. Sem autenticação. Com privilégios SYSTEM — o nível mais alto do Windows, acima de qualquer administrador, política ou restrição. A CVE-2026-46230 não é um risco teórico. O PoC está público desde 20 de maio. Nation-state actors já incorporaram o exploit em campanhas ativas.
O bug: RCE com SYSTEM no kernel
O kernel do Windows (ntoskrnl.exe) processa I/O Request Packets (IRPs) na rotina IoAllocateMdl. Quando recebe IRPs malformados, a validação de bounds falha. O resultado é corrupção de memória no kernel space — e um atacante não autenticado pode executar código arbitrário com privilégios SYSTEM.
O exploit funciona via qualquer serviço que encaminhe raw IOCTL requests:
- SMBv3 (porta 445) — presente em toda máquina Windows. File sharing, autenticação de domínio, lateral movement. Se o SMB está acessível, a máquina é alvo.
- RDP (porta 3389) — quando usa virtual channel extensions, a interface vulnerável fica exposta.
- DirectAccess e VPN clients — expõem a interface vulnerável mesmo para atacantes fora da rede corporativa.
Não é admin. É SYSTEM. O nível mais alto do Windows. Acima de qualquer usuário, política ou restrição. Quando o kernel executa código arbitrário com SYSTEM via protocolo de rede, não existe defesa em profundidade que substitua o patch.
A cronologia: 8 dias de janela com exploit público
A timeline da CVE-2026-46230 mostra como a janela de exposição foi real:
- 15 de maio: pesquisador reporta a vulnerabilidade ao MSRC de forma privada.
- 20 de maio: PoC publicado em repositório GitHub público. A partir deste momento, qualquer atacante com acesso à rede pode explorar a falha.
- 24 de maio: Microsoft confirma a vulnerabilidade e atribui CVSS 9.8.
- 28 de maio: patch out-of-band KB5029387 lançado — não esperou o Patch Tuesday.
- 2 de junho: CISA adiciona ao KEV (previsto), com prazo de 14 dias para aplicação obrigatória em sistemas federais.
Do PoC público ao patch: 8 dias. Do patch ao KEV: 5 dias. A janela de exposição com exploit público foi real. E nation-state actors já incorporaram o exploit em campanhas contra setores de energia e manufatura. Não é teórico — é operacional.
O que está em risco: DCs, file servers e VPN gateways
A gravidade da CVE-2026-46230 não está apenas no CVSS 9.8. Está nos alvos que a vulnerabilidade alcança:
Domain controllers: RCE com SYSTEM em um DC significa comprometimento total do domínio. O atacante extrai hashes de todas as contas, modifica GPOs e instala persistência irreversível. A recuperação não é patchear — é reconstruir o domínio do zero.
File servers (SMB): vetor principal de propagação lateral. Uma máquina comprometida infecta todas que compartilham recursos via SMB. Em redes flat, um único file server comprometido é o ponto de partida para comprometimento total.
VPN gateways e RDP hosts: superfície exposta à internet. O atacante não precisa estar dentro da rede — basta acessar a porta 445 ou 3389 via VPN ou DirectAccess.
Qualquer Windows 10 22H2, Server 2019 ou Server 2022 não patchado é alvo. Se sua rede tem essas portas abertas entre segmentos, o risco é lateral e escalável.
Mitigação imediata: patch e segmentação
O patch KB5029387 está disponível via Windows Update, WSUS e Configuration Manager. É out-of-band — não espere o Patch Tuesday. Verifique o deployment com Get-HotFix ou compliance baselines no SCCM.
Se não pode patchear agora, as mitigações são claras:
- Bloqueie SMB (445) e RDP (3389) na perimeter firewall. Nenhuma máquina Windows precisa dessas portas expostas à internet. SMB exposto à internet não é risco teórico — é convite aberto.
- Segmente domain controllers em VLAN isolada. Acesso ao DC deve ser restrito a serviços legítimos de autenticação e replicação.
- Restrinja RDP a zero-trust gateway. RDP sem gateway com MFA é o mesmo que deixar a porta aberta.
Essas mitigações não são opcionais. São o mínimo que qualquer infraestrutura Windows deve ter — com ou sem CVE ativa.
A lição: o patch é obrigatório, a segmentação é o seguro
A CVE-2026-46230 reforça algo que deveria ser padrão: quando o kernel do Windows tem RCE com SYSTEM via protocolo de rede, a segmentação é a defesa que resta. O patch é obrigatório. A segmentação é o seguro.
Redes flat onde qualquer máquina alcança qualquer porta em qualquer segmento são o cenário ideal para propagação lateral. Um único host comprometido vira comprometimento total. A arquitetura de rede precisa assumir que vulnerabilidades como essa vão acontecer — e projetar a segmentação para conter o blast radius.
Na Tech86, auditamos infraestrutura Windows e implementamos segmentação de rede com zero-trust. Se seu SMB está exposto à internet, não é questão de se será explorado — é quando.