Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreiaufrg4kzswtnrei7vcy4z6jmztgvgqaa6cqvyfxpjywm2rlroxra",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mjpvlecwawv2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreiclzua2bxervzgeigce23r5dwdphcn24w5cwsuitgdzxkcvn7s754"
    },
    "mimeType": "image/jpeg",
    "size": 64293
  },
  "path": "/seguranca/412500-criminosos-atacam-falhas-graves-ainda-sem-correcao-do-windows-defender.htm",
  "publishedAt": "2026-04-17T20:30:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança"
  ],
  "textContent": "Pesquisadores da Huntress Labs confirmaram que três vulnerabilidades no Windows estão sendo ativamente exploradas por agentes de ameaça. O objetivo é obter privilégios elevados em sistemas comprometidos. Duas das falhas ainda não têm correção disponível da Microsoft.\n\nOs três exploits foram criados e divulgados publicamente por um pesquisador de segurança identificado pelos pseudônimos \"Chaotic Eclipse\" e \"Nightmare-Eclipse\". A publicação foi um ato de protesto contra a forma como o Microsoft Security Response Center (MSRC) conduziu o processo de divulgação responsável das falhas.\n\nPerfil do pesquisador Nightmare-Eclipse no GitHub, com os três repositórios públicos envolvidos nos ataques: BlueHammer (1,3 mil estrelas), RedSun (632 estrelas) e UnDefend (103 estrelas). Imagem: Huntress Labs.\n\nDuas das vulnerabilidades, batizadas de BlueHammer e RedSun, são falhas de escalonamento local de privilégios no Microsoft Defender. A terceira, chamada UnDefend, permite que um usuário padrão bloqueie atualizações de definições do Defender sem precisar de permissões administrativas.\n\n## BlueHammer explorada desde 10 de abril; RedSun e UnDefend seguem sem patch\n\nA Huntress Labs identificou o uso ativo das três técnicas de exploração. A falha BlueHammer está sendo explorada desde 10 de abril. A Microsoft a catalogou como CVE-2026-33825 e incluiu uma correção no Patch Tuesday de abril de 2026.\n\nRepositório público do exploit RedSun no GitHub, mantido pelo pesquisador Nightmare-Eclipse. Imagem: Huntress Labs.\n\nRedSun e UnDefend, no entanto, permanecem sem correção. As duas foram identificadas em um dispositivo comprometido por meio de um usuário de SSLVPN com credenciais vazadas.\n\nOs pesquisadores encontraram evidências de \"atividade hands-on-keyboard\", expressão que indica presença ativa de um operador humano no sistema comprometido, em vez de automação.\n\n## Defender vira vetor do próprio ataque no caso do RedSun\n\nO exploit RedSun afeta Windows 10, Windows 11 e Windows Server 2019 e versões posteriores quando o Windows Defender está ativo. A falha persiste mesmo após a aplicação dos patches do Patch Tuesday de abril.\n\nPainel da Huntress Labs mostra oito detecções em um mesmo dispositivo, incluindo entradas do tipo Exploit:Win32/ e o processo RedSun.exe entre os arquivos sinalizados. Imagem: Huntress Labs.\n\nO mecanismo explorado é uma falha no comportamento do próprio antivírus. \"Quando o Windows Defender percebe que um arquivo malicioso tem uma cloud tag, por algum motivo estúpido e hilário, o antivírus que deveria proteger decide que é uma boa ideia simplesmente reescrever o arquivo encontrado de volta ao seu local original\", explicou o pesquisador.\n\nBasicamente, o código de demonstração da falha abusa desse comportamento para sobrescrever arquivos de sistema e obter privilégios administrativos.\n\nLog do Microsoft Defender registrando a detecção do exploit BlueHammer, identificado como Exploit:Win32/DfndrPEBluHmr.BZ, em 10 de abril de 2026. Imagem: Huntress Labs.\n\n## Como se proteger\n\nNo momento em que os exploits foram divulgados, nenhuma das três falhas tinha patch oficial da Microsoft, o que as classificava como zero-days — vulnerabilidades conhecidas publicamente sem correção disponível.\n\nUsuários e administradores de sistemas Windows devem aplicar os patches de abril imediatamente e monitorar atividades suspeitas relacionadas ao Defender enquanto RedSun e UnDefend aguardam correção.\n\nAcompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.",
  "title": "Criminosos atacam falhas graves ainda sem correção do Windows Defender"
}