17 abr Criminosos atacam falhas graves ainda sem correção do Windows Defender
Pesquisadores da Huntress Labs confirmaram que três vulnerabilidades no Windows estão sendo ativamente exploradas por agentes de ameaça. O objetivo é obter privilégios elevados em sistemas comprometidos. Duas das falhas ainda não têm correção disponível da Microsoft.
Os três exploits foram criados e divulgados publicamente por um pesquisador de segurança identificado pelos pseudônimos “Chaotic Eclipse” e “Nightmare-Eclipse”. A publicação foi um ato de protesto contra a forma como o Microsoft Security Response Center (MSRC) conduziu o processo de divulgação responsável das falhas.
Perfil do pesquisador Nightmare-Eclipse no GitHub, com os três repositórios públicos envolvidos nos ataques: BlueHammer (1,3 mil estrelas), RedSun (632 estrelas) e UnDefend (103 estrelas). Imagem: Huntress Labs.
Duas das vulnerabilidades, batizadas de BlueHammer e RedSun, são falhas de escalonamento local de privilégios no Microsoft Defender. A terceira, chamada UnDefend, permite que um usuário padrão bloqueie atualizações de definições do Defender sem precisar de permissões administrativas.
BlueHammer explorada desde 10 de abril; RedSun e UnDefend seguem sem patch
A Huntress Labs identificou o uso ativo das três técnicas de exploração. A falha BlueHammer está sendo explorada desde 10 de abril. A Microsoft a catalogou como CVE-2026-33825 e incluiu uma correção no Patch Tuesday de abril de 2026.
Repositório público do exploit RedSun no GitHub, mantido pelo pesquisador Nightmare-Eclipse. Imagem: Huntress Labs.
RedSun e UnDefend, no entanto, permanecem sem correção. As duas foram identificadas em um dispositivo comprometido por meio de um usuário de SSLVPN com credenciais vazadas.
Os pesquisadores encontraram evidências de “atividade hands-on-keyboard”, expressão que indica presença ativa de um operador humano no sistema comprometido, em vez de automação.
Defender vira vetor do próprio ataque no caso do RedSun
O exploit RedSun afeta Windows 10, Windows 11 e Windows Server 2019 e versões posteriores quando o Windows Defender está ativo. A falha persiste mesmo após a aplicação dos patches do Patch Tuesday de abril.
Painel da Huntress Labs mostra oito detecções em um mesmo dispositivo, incluindo entradas do tipo Exploit:Win32/ e o processo RedSun.exe entre os arquivos sinalizados. Imagem: Huntress Labs.
O mecanismo explorado é uma falha no comportamento do próprio antivírus. “Quando o Windows Defender percebe que um arquivo malicioso tem uma cloud tag, por algum motivo estúpido e hilário, o antivírus que deveria proteger decide que é uma boa ideia simplesmente reescrever o arquivo encontrado de volta ao seu local original”, explicou o pesquisador.
Basicamente, o código de demonstração da falha abusa desse comportamento para sobrescrever arquivos de sistema e obter privilégios administrativos.
Log do Microsoft Defender registrando a detecção do exploit BlueHammer, identificado como Exploit:Win32/DfndrPEBluHmr.BZ, em 10 de abril de 2026. Imagem: Huntress Labs.
Como se proteger
No momento em que os exploits foram divulgados, nenhuma das três falhas tinha patch oficial da Microsoft, o que as classificava como zero-days — vulnerabilidades conhecidas publicamente sem correção disponível.
Usuários e administradores de sistemas Windows devem aplicar os patches de abril imediatamente e monitorar atividades suspeitas relacionadas ao Defender enquanto RedSun e UnDefend aguardam correção.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.