Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreietu5ktassdupl5aa26hm2ik2frqkyouqydkygtwz24yhnazhv4gm",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3miwifjrczag2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreidp3ruvqgld76wuylioehzt7nyck2u3nai5ppqm4cglltlr22ha5m"
    },
    "mimeType": "image/png",
    "size": 738634
  },
  "path": "/seguranca/412197-pesquisador-vaza-falha-grave-inedita-e-ainda-sem-correcao-do-windows-11.htm",
  "publishedAt": "2026-04-07T17:15:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança"
  ],
  "textContent": "Um pesquisador de segurança anônimo, sob o usuário “Chaotic Eclipse”, divulgou o código de exploração de uma vulnerabilidade não corrigida no Windows. A falha é capaz de elevar um usuário comum ao nível SYSTEM, o maior grau de controle sobre o sistema operacional.\n\nA falha, chamada BlueHammer, estava sob divulgação responsável com a Microsoft. No entanto,o pesquisador, insatisfeito com a resposta da empresa, decidiu publicar o exploit antes de qualquer patch estar disponível. Isso torna a vulnerabilidade um zero-day pelo critério da própria Microsoft, uma falha conhecida publicamente sem correção.\n\nNa publicação no blog do pesquisador, ele afirma que não está blefando e agradece, ironicamente, o Vice Presidente de Engenharia no Microsoft Security Response Center. Imagem: TecMundo.\n\nAo _BleepingComputer,_ a empresa comentou: “A Microsoft tem o compromisso com os clientes de investigar problemas de segurança relatados e atualizar os dispositivos afetados para proteger os clientes o mais rápido possível. Também apoiamos a divulgação coordenada de vulnerabilidades, uma prática amplamente adotada no setor que ajuda a garantir que os problemas sejam cuidadosamente investigados e resolvidos antes da divulgação pública, contribuindo tanto para a proteção dos clientes quanto para a comunidade de pesquisa em segurança.”\n\n## BlueHammer não é acesso remoto\n\nO BlueHammer é classificado como Escalação Local de Privilégio (LPE). Sozinho, não permite que um atacante invada sistemas remotamente. O que ele faz é ampliar o que um intruso já pode fazer quando tem algum acesso à máquina, seja por phishing, malware ou roubo de credenciais.\n\nNa prática, a distinção importa menos do que parece. Ataques reais quase sempre combinam um vetor de acesso inicial com uma escalada de privilégios. E o BlueHammer cobre essa segunda etapa ao transformar uma conta com permissões limitadas em controle total.\n\nA imagem de teste do BlueHammer compartilhada por Will Dormann mostra uma escalada bem-sucedida para NT AUTHORITYSYSTEM. Imagem: SOCRadar\n\n## Como a falha funciona\n\nWill Dormann, analista principal da empresa de segurança Tharros, confirmou ao _BleepingComputer_ que o BlueHammer combina duas técnicas. A primeira é TOCTOU (time-of-check to time-of-use). O Windows valida uma condição em um momento, mas a executa em outro, abrindo uma janela para interferência.\n\nA segunda é path confusion, que induz o sistema a processar um recurso diferente do pretendido durante uma operação privilegiada.\n\nGerenciamento da superfície de ataque do SOCRadar, vulnerabilidades da empresa. Imagem: SOCRadar.\n\nO resultado prático dessa combinação é o acesso ao banco Gerenciador de Contas de Segurança (SAM), que armazena hashes de senhas de contas locais. Com esse acesso, é possível escalar para SYSTEM e comprometer a máquina por completo.\n\nDormann descreve o desfecho como se o atacante basicamente passasse a controlar o sistema e pudesse abrir shells com privilégios de SYSTEM.\n\n## Código público, mas sem correção\n\nO pesquisador, que usa o pseudônimo Chaotic Eclipse e também publicou sob o alias Nightmare-Eclipse, não explicou em detalhes a mecânica do exploit. Em referência à liderança da Microsoft Security Response Center (MSRC), escreveu: \"Obrigado por tornar isso possível.\" O próprio pesquisador admitiu que o código contém bugs.\n\nTestes de outros pesquisadores confirmaram que o exploit não se comporta de forma consistente em Windows Server. Nesse ambiente, o resultado observado foi escalonamento para administrador elevado, não SYSTEM completo. Em sistemas desktop, o nível SYSTEM foi confirmado.\n\nNo X, antigo Twitter, o pesquisador divulgou o código, que também foi publicado em um blog com o mesmo codinome. Imagem: International Cyber Digest/X.\n\nExploit com bugs e comportamento inconsistente não é o mesmo que exploit inofensivo. Códigos de prova de conceito publicados publicamente tendem a ser refinados por terceiros ao longo do tempo, especialmente quando o problema é real e validado por pesquisadores respeitados.\n\nEnquanto não há patch, equipes de segurança precisam operar com monitoramento de escalonamento de privilégios, restrição de direitos administrativos locais e atenção redobrada a comportamentos anômalos em endpoints. Não existe atalho, uma vez que, sem correção disponível, a defesa depende inteiramente de detecção e contenção.\n\nAinda não há como se proteger dessa exploração de vulnerabilidade.\n\nAcompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.",
  "title": "Pesquisador vaza falha grave, inédita e ainda sem correção do Windows 11"
}