Wellington Agápto

Opa! Tudo certo? Wellington Agápto por aqui. Hoje eu trouxe para vocês o artigo “Patch Tuesday de Julho Interrompe Boot de VMs Azure com VBS”. Acesse o site da Uni Academy (https://uniacademy.com.br/) e conheça todos os meus cursos. Não esqueça de me seguir no Instagram, conhecer meu Site, se inscrever no meu Canal do Youtube, deixar o seu like e compartilhar esse artigo, para fortalecermos a nossa comunidade. Um grande abraço e boa leitura.

Patch Tuesday de Julho Interrompe Boot de VMs Azure com VBS

No dia 8 de julho de 2025, a Microsoft liberou o Patch Tuesday regular para Windows 11 e Windows Server 2025. Poucos dias depois, administradores de máquinas virtuais (VMs) no Azure começaram a relatar que suas instâncias não conseguiam inicializar — especialmente aquelas configuradas sem Trusted Launch, mas com Virtualization‑Based Security (VBS) habilitado. Neste artigo, vamos entender o que aconteceu, por que a correção oficial é necessária e como aplicá‑la em seus ambientes.

O que ocorreu após o Patch Tuesday de julho de 2025

Após instalar o update KB5062553, uma pequena parcela de VMs Gen 2 no Azure, configuradas como “Standard” (sem Trusted Launch) e com VBS ativado via chave de registro, simplesmente não iniciava. As máquinas ficavam presas em ciclo de boot ou exibiam erros de inicialização do kernel seguro. A falha foi oficialmente reconhecida pela Microsoft em 15 de julho de 2025, quando lançou a correção de urgência KB5064489.

Causa raiz do problema

O problema decorre de uma alteração no processo de inicialização do kernel seguro (secure kernel) durante as atualizações de segurança de julho. Em VMs com VBS habilitado, a inicialização desse componente crítico falhava quando o host oferecia VBS mas o recurso de Trusted Launch estava desativado. Em outras palavras, a dependência entre o hypervisor e o secure kernel foi quebrada inadvertidamente pelos patches de dia “Patch Tuesday”.

Quem foi afetado

• VMs Gen 2 Standard: instâncias que não usam Trusted Launch, mas habilitam VBS.
• Versões suportadas: Windows 11 24H2 e Windows Server 2025.
• VM SKUs antigos: modelos de VM que não suportam o novo fluxo de inicialização seguro por padrão.

Solução disponibilizada: KB5064489 (out‑of‑band)

Em 15 de julho de 2025, a Microsoft publicou o update out‑of‑band KB5064489 (OS Build 26100.4656) que repara o fluxo de inicialização do secure kernel e restaura a capacidade das VMs de gerar o ambiente VBS corretamente. A correção é cumulativa, incluindo todas as melhorias de segurança do KB5062553, além do ajuste crítico para VMs Azure.

Como obter o KB5064489

1. Microsoft Update Catalog: baixe manualmente o pacote MSU correspondente à sua versão (Windows 11 ou Server 2025).
2. DISM / PowerShell: instale o MSU via linha de comando, por exemplo:

DISM /Online /Add-Package /PackagePath:”C:\Patches\Windows11-KB5064489-x64.msu”

Como verificar se sua VM está vulnerável

Para identificar instâncias potencialmente afetadas:

1. No portal do Azure, abra System Information (msinfo32.exe) dentro da VM.
2. Verifique se Virtualization‑Based Security está ativado.
3. Confirme que Hyper‑V não está instalado e que a VM é do tipo “Standard” (non–Trusted Launch).

Se todos esses critérios se aplicarem e a VM não inicializar, recomenda‑se aplicar imediatamente o KB5064489 antes de reiniciar novamente.

Recomendações para administradores

• Ambientes de produção: agende uma janela de manutenção para aplicar o update manualmente, já que ele não é implantado automaticamente em VMs Azure Standard.
• Testes prévios: reproduza o cenário em ambientes de homologação para validar o processo de instalação e o retorno ao estado operacional.
• Monitoramento: após a correção, acompanhe os logs do Event Viewer (procure pelo Event 2042 em Windows Firewall with Advanced Security) e confirme que não há novos erros de inicialização.

A falha introduzida pelos patches de julho de 2025 revelou como pequenas mudanças em componentes críticos como o secure kernel podem impactar diretamente a disponibilidade de serviços na nuvem. A correção out‑of‑band KB5064489 já está disponível e deve ser aplicada com urgência em VMs Azure Standard que utilizem VBS. Manter processos de validação e testes integrados ao ciclo de atualizações é fundamental para evitar surpresas em produção.

E aí! Curtiu esse artigo? Então não esquece de comentar, deixar o seu like, e compartilhar em suas redes sociais.

Acesso Black!

Todos os meus Cursos em um único lugar.

Clique AQUI e se torne um aluno Black.

Cursos de Especialização

• Microsoft Exchange Online: do zero ao especialista
• Microsoft Intune do básico ao avançado
• Especialista em Microsoft Defender para Office 365
• DLP Para Administradores (Prevenção contra Perda de Dados no Microsoft Purview)
• Acesso Condicional do Microsoft Entra na Prática
• Comunicação e Oratória para o mundo corporativo

Cursos preparatórios para Certificações

Escolha umas das certificações a seguir e seja aprovado em até 4 semanas:

• SC-200: analista de operações de segurança da Microsoft
• CompTia Security +
• AZ-305: Designing Microsoft Azure Infrastructure Solutions
• SC-100: Microsoft Cybersecurity Architect
• AWS Certified Cloud Practitioner
• AZ-900: Fundamentos do Microsoft Azure
• AZ-104: Administrador do Microsoft Azure
• AZ-500: Segurança no Azure
• MS-900: Fundamentos do Microsoft 365
• MS-102: Administrador do Microsoft 365
• MD-102: Microsoft 365 Endpoint Administrator
• MS-700: Administrador do Microsoft Teams
• SC-900: Segurança no Microsoft 365
• SC-300: Administrador de Acesso e Identidade da Microsoft

Clique AQUI e garanta a sua Vaga!