A equipe da Huntress Labs revelou que tr\u00eas vulnerabilidades no Windows est\u00e3o sendo ativamente exploradas por agentes mal-intencionados, com a inten\u00e7\u00e3o de obter privil\u00e9gios elevados em sistemas comprometidos. Dentre essas falhas, duas ainda n\u00e3o possuem corre\u00e7\u00e3o dispon\u00edvel pela Microsoft.<\/p>\n
Os tr\u00eas exploits foram desenvolvidos e divulgados publicamente por um pesquisador de seguran\u00e7a conhecido pelos pseud\u00f4nimos “Chaotic Eclipse” e “Nightmare-Eclipse”. Esta publica\u00e7\u00e3o foi um ato de protesto contra a maneira como o Microsoft Security Response Center (MSRC) lida com a divulga\u00e7\u00e3o respons\u00e1vel das vulnerabilidades.<\/p>\n Duas das vulnerabilidades, denominadas BlueHammer e RedSun, s\u00e3o falhas de escalonamento local de privil\u00e9gios no Microsoft Defender. A terceira, chamada UnDefend, permite que um usu\u00e1rio comum bloqueie atualiza\u00e7\u00f5es de defini\u00e7\u00f5es do Defender sem precisar de permiss\u00f5es administrativas.<\/p>\n A Huntress Labs detectou o uso ativo das tr\u00eas vulnerabilidades. A falha BlueHammer est\u00e1 sendo explorada desde 10 de abril e foi catalogada pela Microsoft como CVE-2026-33825, recebendo uma corre\u00e7\u00e3o no Patch Tuesday de abril de 2026.<\/p>\n Hackers do Ir\u00e3 atacam sistemas que controlam \u00e1gua, energia e f\u00e1bricas nos EUA.<\/p><\/div>\n At\u00e9 o momento, RedSun e UnDefend n\u00e3o t\u00eam corre\u00e7\u00f5es dispon\u00edveis. Essas falhas foram identificadas em dispositivos comprometidos atrav\u00e9s de um usu\u00e1rio de SSLVPN com credenciais vazadas.<\/p>\n Os pesquisadores observaram ind\u00edcios de “atividade hands-on-keyboard”, indicando a presen\u00e7a ativa de um operador humano no sistema invadido, em vez de automa\u00e7\u00e3o.<\/p>\n O exploit RedSun impacta Windows 10, Windows 11 e Windows Server 2019, e vers\u00f5es posteriores, quando o Windows Defender est\u00e1 ativo. A falha permanece mesmo ap\u00f3s a aplica\u00e7\u00e3o dos patches do Patch Tuesday de abril.<\/p>\n O problema se resume a uma falha no comportamento do pr\u00f3prio antiv\u00edrus. “O Windows Defender, ao identificar um arquivo malicioso com uma cloud tag, toma a decis\u00e3o, de forma absurda, de reescrever o arquivo em seu local original”, afirmou o pesquisador.<\/p>\n Ap\u00f3s vazamento, Claude Code pode ser utilizado gratuitamente.<\/p><\/div>\n Essentialmente, o c\u00f3digo que demonstra a falha explora esse comportamento para sobrescrever arquivos de sistema e obter privil\u00e9gios administrativos.<\/p>\n Com a divulga\u00e7\u00e3o dos exploits, nenhuma das tr\u00eas falhas contava com patches oficiais da Microsoft, qualificando-as como zero-days \u2014 vulnerabilidades conhecidas publicamente sem solu\u00e7\u00e3o dispon\u00edvel.<\/p>\n Usu\u00e1rios e administradores de sistemas Windows s\u00e3o aconselhados a aplicar os patches de abril imediatamente e a monitorar atividades suspeitas relacionadas ao Defender enquanto as corre\u00e7\u00f5es para RedSun e UnDefend ainda s\u00e3o aguardadas.<\/p>\n Acompanhe o TecMania nas redes sociais. Para mais atualiza\u00e7\u00f5es sobre seguran\u00e7a e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.<\/p>\n Pesquisador anunciou exploits como forma de protesto ao MSRC; Huntress Labs confirma que est\u00e3o sendo usados em ataques reais desde […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-1841","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/1841","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=1841"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/1841\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=1841"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=1841"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=1841"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Explora\u00e7\u00e3o ativa desde 10 de abril; RedSun e UnDefend ainda sem patch<\/h2>\n
Defender ataca a si mesmo com a vulnerabilidade RedSun<\/h2>\n
Como se proteger<\/h2>\n