Uma falha crítica introduzida nas atualizações de segurança de julho está impedindo que máquinas virtuais (VMs) no Microsoft Azure sejam inicializadas corretamente, forçando a Microsoft a liberar uma atualização de emergência: a KB5064489.
Administradores de sistemas e profissionais de TI que utilizam o Windows Server 2025 ou o Windows 11 24H2 em ambientes com VBS (Segurança Baseada em Virtualização) ativado devem agir com urgência. Neste artigo, explicamos o que causou o problema, quem está em risco, como verificar se seu ambiente é afetado e como aplicar a correção.
Para empresas que dependem da infraestrutura em nuvem do Azure, a indisponibilidade de VMs pode significar interrupções de serviço, prejuízos operacionais e falhas de conformidade. Por isso, a aplicação da atualização KB5064489 deve ser priorizada imediatamente.
O que é a falha que impede a inicialização das VMs
O problema surgiu após a instalação da atualização cumulativa de julho de 2025, que faz parte do ciclo regular do Patch Tuesday. A falha afeta exclusivamente ambientes no Microsoft Azure, especificamente VMs criadas com a configuração “Padrão”, quando o recurso VBS está ativado.
As condições exatas para a falha
O erro ocorre somente em máquinas virtuais configuradas como “Padrão” no Azure, ou seja, sem o uso do Trusted Launch, uma tecnologia de segurança que oferece inicialização segura com verificação reforçada do sistema.
Além disso, é necessário que a Segurança Baseada em Virtualização (VBS) esteja habilitada. Essa configuração é comum em workloads sensíveis, pois isola processos críticos para proteção contra ataques.
A causa raiz do problema
A Microsoft confirmou que a falha está ligada a um problema de inicialização segura do kernel (Secure Kernel Boot), introduzido acidentalmente na atualização de segurança regular de julho (KB5062553). Como resultado, as VMs afetadas falham ao iniciar, exibindo erros críticos durante o boot.
A solução oficial: a atualização de emergência KB5064489
Para corrigir o problema, a Microsoft lançou a atualização de emergência KB5064489, também chamada de atualização fora de banda (Out-of-Band Update – OOB), com foco exclusivo na resolução dessa falha crítica.
Detalhes da atualização fora de banda (OOB)
A KB5064489 foi publicada no dia 15 de julho de 2025 e está disponível para os sistemas Windows Server 2025 e Windows 11 24H2.
Essa atualização tem como principal objetivo reparar o erro de inicialização causado pela versão anterior e restaurar a funcionalidade das VMs no Microsoft Azure.
Como instalar a correção
Se o seu ambiente é afetado pelas condições descritas anteriormente, a Microsoft recomenda fortemente que você instale a KB5064489 em vez da atualização cumulativa padrão de julho (KB5062553).
A instalação pode ser feita manualmente via Catálogo do Microsoft Update ou por meio de automações via WSUS ou SCCM, dependendo da infraestrutura do seu ambiente.
Como saber se minhas VMs são afetadas?
Se você utiliza o Azure, siga este guia rápido para identificar se suas VMs estão em risco:
Passo 1: Verifique o tipo de criação da VM
No portal do Microsoft Azure, abra as propriedades da máquina virtual e verifique se a opção de segurança está definida como “Padrão” (em vez de “Trusted Launch”). Esse é o primeiro indicador de vulnerabilidade.
Passo 2: Verifique se o VBS está habilitado
Dentro da VM (caso esteja operacional), execute o comando msinfo32.exe para abrir a ferramenta Informações do Sistema.
No painel, procure a entrada “Segurança baseada em virtualização” e verifique se está marcada como “Em execução”. Se sim, sua VM pode ser impactada.
Prevenção e o papel do Trusted Launch
O Trusted Launch é um recurso de segurança do Azure que protege contra ataques de inicialização modificando a cadeia de boot e habilitando recursos como TPM virtual, Secure Boot e integridade de código medido.
VMs criadas com Trusted Launch ativado não são afetadas por esse bug. Isso ocorre porque o Trusted Launch oferece uma base de inicialização validada e criptografada, impedindo que falhas no kernel comprometam o boot do sistema.
Migrar suas VMs para o modelo Trusted Launch pode ser uma estratégia preventiva eficaz para evitar problemas semelhantes no futuro.
Conclusão: impacto e próximos passos para administradores
Essa falha evidencia os riscos de ambientes com segurança avançada, mas sem configurações compatíveis de boot. A atualização KB5064489 representa a única solução oficial e segura para restaurar a inicialização de VMs afetadas no Azure.
Administradores de ambientes Azure devem agir imediatamente: auditar suas máquinas virtuais, identificar aquelas que usam configuração Padrão com VBS ativado, e aplicar a correção fora de banda KB5064489 para evitar indisponibilidades e garantir a continuidade dos serviços.
