Explorando Brechas: Criminosos Aproveitam Vulnerabilidades Não Corrigidas no Windows Defender

Por /

Pesquisador anunciou exploits como forma de protesto ao MSRC; Huntress Labs confirma que estão sendo usados em ataques reais desde 10 de abril.

A equipe da Huntress Labs revelou que três vulnerabilidades no Windows estão sendo ativamente exploradas por agentes mal-intencionados, com a intenção de obter privilégios elevados em sistemas comprometidos. Dentre essas falhas, duas ainda não possuem correção disponível pela Microsoft.

Os três exploits foram desenvolvidos e divulgados publicamente por um pesquisador de segurança conhecido pelos pseudônimos “Chaotic Eclipse” e “Nightmare-Eclipse”. Esta publicação foi um ato de protesto contra a maneira como o Microsoft Security Response Center (MSRC) lida com a divulgação responsável das vulnerabilidades.

Perfil do pesquisador Nightmare-Eclipse no GitHub, com os três repositórios públicos envolvidos nos ataques: BlueHammer (1,3 mil estrelas), RedSun (632 estrelas) e UnDefend (103 estrelas). Imagem: Huntress Labs.

Duas das vulnerabilidades, denominadas BlueHammer e RedSun, são falhas de escalonamento local de privilégios no Microsoft Defender. A terceira, chamada UnDefend, permite que um usuário comum bloqueie atualizações de definições do Defender sem precisar de permissões administrativas.

Exploração ativa desde 10 de abril; RedSun e UnDefend ainda sem patch

A Huntress Labs detectou o uso ativo das três vulnerabilidades. A falha BlueHammer está sendo explorada desde 10 de abril e foi catalogada pela Microsoft como CVE-2026-33825, recebendo uma correção no Patch Tuesday de abril de 2026.

Leia Mais

Hackers do Irã atacam sistemas que controlam água, energia e fábricas nos EUA.

Repositório público do exploit RedSun no GitHub, mantido pelo pesquisador Nightmare-Eclipse. Imagem: Huntress Labs.

Até o momento, RedSun e UnDefend não têm correções disponíveis. Essas falhas foram identificadas em dispositivos comprometidos através de um usuário de SSLVPN com credenciais vazadas.

Os pesquisadores observaram indícios de “atividade hands-on-keyboard”, indicando a presença ativa de um operador humano no sistema invadido, em vez de automação.

Defender ataca a si mesmo com a vulnerabilidade RedSun

O exploit RedSun impacta Windows 10, Windows 11 e Windows Server 2019, e versões posteriores, quando o Windows Defender está ativo. A falha permanece mesmo após a aplicação dos patches do Patch Tuesday de abril.

Painel da Huntress Labs evidenciando múltiplas detecções em um único dispositivo, incluindo entradas do tipo Exploit:Win32/ e o processo RedSun.exe entre os arquivos sinalizados. Imagem: Huntress Labs.

O problema se resume a uma falha no comportamento do próprio antivírus. “O Windows Defender, ao identificar um arquivo malicioso com uma cloud tag, toma a decisão, de forma absurda, de reescrever o arquivo em seu local original”, afirmou o pesquisador.

Leia Mais

Após vazamento, Claude Code pode ser utilizado gratuitamente.

Essentialmente, o código que demonstra a falha explora esse comportamento para sobrescrever arquivos de sistema e obter privilégios administrativos.

Log do Microsoft Defender registrando a detecção do exploit BlueHammer, identificado como Exploit:Win32/DfndrPEBluHmr.BZ, em 10 de abril de 2026. Imagem: Huntress Labs.

Como se proteger

Com a divulgação dos exploits, nenhuma das três falhas contava com patches oficiais da Microsoft, qualificando-as como zero-days — vulnerabilidades conhecidas publicamente sem solução disponível.

Usuários e administradores de sistemas Windows são aconselhados a aplicar os patches de abril imediatamente e a monitorar atividades suspeitas relacionadas ao Defender enquanto as correções para RedSun e UnDefend ainda são aguardadas.

Acompanhe o TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

Rolar para cima