Pesquisadores da Huntress Labs confirmaram a exploração ativa de três vulnerabilidades no Windows, visando a elevação de privilégios em sistemas comprometidos. Um aspecto alarmante é que duas dessas falhas ainda carecem de correção por parte da Microsoft, expondo os usuários a riscos significativos.
Divulgação das falhas como forma de protesto
Os exploits foram criados e divulgados publicamente por um pesquisador de segurança que utiliza os pseudônimos “Chaotic Eclipse” e “Nightmare-Eclipse”. A motivação por trás dessa divulgação foi um protesto contra a maneira como o Microsoft Security Response Center (MSRC) conduziu o processo de divulgação responsável das vulnerabilidades.
BlueHammer, RedSun e UnDefend: as vulnerabilidades em detalhes
As três vulnerabilidades identificadas receberam os nomes de BlueHammer, RedSun e UnDefend. As duas primeiras, BlueHammer e RedSun, representam falhas de escalonamento local de privilégios dentro do Microsoft Defender. Já a terceira, UnDefend, possibilita que um usuário padrão impeça as atualizações de definições do Defender, mesmo sem possuir permissões administrativas elevadas.
Exploração ativa e ausência de correção para RedSun e UnDefend
A Huntress Labs confirmou o uso ativo das três técnicas de exploração. A falha BlueHammer está sendo ativamente explorada desde o dia 10 de abril. A Microsoft catalogou essa vulnerabilidade como CVE-2026-33825 e disponibilizou uma correção como parte do Patch Tuesday de abril de 2026.
Entretanto, RedSun e UnDefend permanecem sem patch de correção. A identificação dessas duas falhas ocorreu em um dispositivo comprometido por meio de um usuário de SSLVPN cujas credenciais foram comprometidas. Os pesquisadores também detectaram evidências de atividade “hands-on-keyboard”, o que sugere a presença ativa de um operador humano dentro do sistema comprometido, em vez de uma simples automação.
RedSun: o antivírus como vetor de ataque
O exploit RedSun afeta sistemas Windows 10, Windows 11 e Windows Server 2019 e versões posteriores, desde que o Windows Defender esteja ativo. A persistência dessa falha é notável, mantendo-se mesmo após a aplicação dos patches disponibilizados no Patch Tuesday de abril. O mecanismo de exploração reside em uma falha no próprio comportamento do antivírus. Segundo o pesquisador, quando o Windows Defender identifica um arquivo malicioso com uma cloud tag, ele o reescreve de volta ao seu local original, comportamento que é explorado para sobrescrever arquivos de sistema e obter privilégios administrativos.
Medidas de proteção e monitoramento
No momento da divulgação, nenhuma das três falhas possuía uma correção oficial da Microsoft, o que as classificava como vulnerabilidades zero-day. Diante desse cenário, é crucial que usuários e administradores de sistemas Windows apliquem os patches de abril o mais rápido possível e monitorem de perto qualquer atividade suspeita relacionada ao Defender, enquanto aguardam as correções para RedSun e UnDefend.
A exploração ativa de vulnerabilidades no Windows Defender, especialmente aquelas ainda sem correção, representa um risco significativo para a segurança de sistemas em todo o mundo. A rápida aplicação de patches e o monitoramento constante são essenciais para mitigar esses riscos.