No universo da tecnologia, existe uma piada antiga, quase um provérbio, que diz que toda correção de bug introduz um novo bug. Parece que a Microsoft levou isso a sério. Em uma manobra para conter uma vulnerabilidade gravíssima, a gigante de Redmond lançou um patch de emergência que, ironicamente, acabou quebrando uma funcionalidade importante para administradores de sistema: o hotpatching no Windows Server 2025. A situação forçou um recuo para o bom e velho ciclo de atualizações mensais com reinicialização obrigatória, provando que, às vezes, o progresso dá dois passos para frente e um para trás, tropeçando no próprio cadarço.

Uma Mão Lava a Outra... e Suja a Toalha

A saga começou com a descoberta de uma falha de segurança de severidade crítica, catalogada como CVE-2025-59287. Essa vulnerabilidade permitia a execução remota de código (RCE) no Windows Server Update Service (WSUS), o componente responsável por gerenciar e distribuir atualizações em redes corporativas. O problema era tão sério que, segundo confirmações de várias empresas de cibersegurança e do Centro Nacional de Segurança Cibernética dos Países Baixos (NCSC-NL), já estava sendo ativamente explorado por invasores. Para piorar, uma prova de conceito (PoC) do exploit já circulava publicamente, aumentando a pressão por uma solução imediata.

A urgência foi tamanha que a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou a falha ao seu catálogo de vulnerabilidades conhecidas e exploradas, ordenando que todas as agências governamentais americanas protegessem seus sistemas. De acordo com o grupo de vigilância da Internet Shadowserver, mais de 2.600 instâncias do WSUS estavam com suas portas padrão (8530/8531) expostas online, transformando-as em alvos fáceis para ataques. O cenário era um prato cheio para o desastre, e a Microsoft precisava agir rápido.

Hotpatching no Gelo: O Efeito Colateral do KB5070881

A resposta da Microsoft veio na forma do patch de emergência KB5070881. O objetivo era nobre: fechar a brecha CVE-2025-59287 o mais rápido possível. Contudo, a pressa parece ter sido inimiga da perfeição. Pouco após o lançamento, administradores de sistemas que utilizavam o Windows Server 2025 perceberam um problema inesperado. Aqueles que haviam aderido ao programa de "hotpatching" — uma funcionalidade moderna que permite aplicar atualizações de segurança sem a necessidade de reiniciar o servidor — descobriram que seus sistemas foram sumariamente "expulsos" do programa.

Em uma atualização no documento de suporte oficial do patch, a própria Microsoft confirmou a falha: "Um número muito limitado de máquinas inscritas no Hotpatch recebeu a atualização antes que o problema fosse corrigido". O resultado? Esses servidores perderam o status de hotpatch e, como consequência, não receberão mais as atualizações rápidas e sem reinicialização de novembro e dezembro. Em vez disso, eles voltarão ao método tradicional de atualizações de segurança mensais, que exigem um reboot completo. A promessa é que eles poderão voltar ao "trem do hotpatching" somente após a instalação da linha de base planejada para janeiro de 2026.

A Correção da Correção: Microsoft Tenta de Novo

Percebendo o erro, a Microsoft agiu para mitigar os danos. A empresa parou de oferecer a atualização problemática KB5070881 para os dispositivos Windows Server 2025 que fazem parte do programa de hotpatching. Para os administradores que ainda não haviam caído na armadilha, a solução foi lançar um novo patch, o KB5070893, projetado especificamente para corrigir a vulnerabilidade CVE-2025-59287 sem desativar o hotpatching.

A recomendação oficial para quem já havia baixado o KB5070881, mas ainda não o tinha instalado, é um processo manual: ir em Configurações > Windows Update, selecionar "Pausar atualizações", depois reativá-las e verificar novamente. Com isso, o sistema deve receber a atualização correta, a KB5070893. Segundo a Microsoft, as máquinas que instalarem esta versão permanecerão no programa e continuarão recebendo os patches sem necessidade de reinicialização, com exceção daquelas que têm o próprio WSUS ativado, que precisarão de um reboot após a instalação.

Um Conto Clássico da Administração de Sistemas

No final das contas, este episódio se torna mais um capítulo na longa história da administração de sistemas, uma área onde a solução para um problema frequentemente se torna a semente de outro. A tentativa da Microsoft de apagar um incêndio acabou jogando um balde de água fria em uma de suas funcionalidades mais convenientes. É um lembrete de que, mesmo com tecnologias avançadas como o hotpatching, a complexidade inerente ao software garante que o trabalho de um administrador de TI nunca seja monótono. E, para os veteranos que já viram de tudo, desde mainframes até a nuvem, é só mais um dia no escritório, com uma leve sensação de 'déjà vu'.