Atores maliciosos estão explorando três vulnerabilidades recentes do Windows em ataques voltados à obtenção de privilégios SYSTEM ou elevação de privilégios administrativos.
Desde o início do mês, um pesquisador de segurança conhecido como “Chaotic Eclipse” ou “Nightmare-Eclipse” publicou códigos de prova de conceito (proof of concept) para as três falhas, em protesto contra a forma como o Microsoft Security Response Center conduziu o processo de divulgação.
Duas das vulnerabilidades, apelidadas de BlueHammer e RedSun, são falhas de elevação de privilégio local no Microsoft Defender.
A terceira, conhecida como UnDefend, pode ser explorada por um usuário comum para bloquear as atualizações de definições do Microsoft Defender.
No momento da divulgação dos exploits, as falhas eram consideradas zero-day, já que não havia correções ou atualizações oficiais disponíveis.
Na quinta-feira, pesquisadores da Huntress Labs informaram ter observado o uso dos três exploits em ambiente real, com a vulnerabilidade BlueHammer sendo explorada desde 10 de abril.
A equipe também identificou os exploits UnDefend e RedSun em um dispositivo Windows comprometido por meio de um usuário de SSL VPN com credenciais roubadas, em ataques que apresentavam indícios de atividade manual por parte do invasor.
“O SOC da Huntress está observando o uso das técnicas de exploração BlueHammer, RedSun e UnDefend, atribuídas a Nightmare-Eclipse”, afirmaram os pesquisadores.
Embora a Microsoft agora acompanhe a vulnerabilidade BlueHammer como
CVE-2026-33825
e tenha corrigido a falha nas atualizações de segurança de abril de 2026, os outros dois problemas continuam sem correção.
Invasores podem explorar a vulnerabilidade RedSun para obter privilégios SYSTEM no Windows 10, Windows 11 e no Windows Server 2019 e versões posteriores, desde que o Microsoft Defender esteja ativado, mesmo após a aplicação das atualizações de segurança mais recentes.
“Quando o Microsoft Defender identifica que um arquivo malicioso possui uma marcação em nuvem, por um comportamento inesperado, o antivírus pode reescrever o arquivo de volta ao seu local original”, explicou o pesquisador.
“O código de prova de conceito explora esse comportamento para sobrescrever arquivos do sistema e obter privilégios administrativos.”
“A Microsoft mantém o compromisso de investigar problemas de segurança relatados e atualizar os dispositivos afetados para proteger seus clientes o mais rápido possível”, afirmou um porta-voz da empresa.
“A empresa também apoia a divulgação coordenada de vulnerabilidades, prática amplamente adotada no setor, que contribui para que falhas sejam analisadas e corrigidas com responsabilidade antes da divulgação pública, fortalecendo a proteção dos usuários e o trabalho da comunidade de segurança.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...