Um novo aviso da assinatura de cibersegurança Huntress acendeu os alarmes: atacantes estão aproveitando três falhas recentemente divulgadas na Microsoft Defender para escalar privilégios em equipamentos comprometidos. As vulnerabilidades, conhecidas pelos alias BlueHammer, RedSun e UnDefend, foram publicadas como zero-days por um pesquisador que assina como Chaotic Eclipse (também referido como Nightmare-Eclipse), em protesto pela forma como, segundo seu critério, a Microsoft gestionou o processo de divulgação.
Das três falhas, BlueHammer e RedSun permitem aumentar privilégios do próprio sistema, o que na prática facilita que um intruso com acesso inicial obtenha controle mais profundo sobre a equipe. Em vez disso, UmDefend é projetado para provocar uma condição de recusa de serviço que pode bloquear atualizações de definições, um vetor que deixa os endpoints sem defesas atuais frente a malware. Microsoft abordou BlueHammer nas atualizações de Patch Tuesday desta semana e a vulnerabilidade figura como CVE‐2026‐33825, mas no momento da elaboração deste texto RedSun e UnDefend permanecem sem adesivo formal.
Huntress publicou em redes e em suas análises que observou exploração ativa das três vulnerabilidades. De acordo com a empresa, a BlueHammer já foi utilizada em ataques desde 10 de abril de 2026, e 16 de abril apareceram provas de conceito público que demonstram o uso da RedSun e UnDefend. Os operadores explicam os pesquisadores, não só executaram exploits automatizados: realizaram tarefas típicas de “hands-on-keyboard”, ou seja, atividade manual e direcionada após o acesso inicial. Entre os comandos detectados encontram-se consultas de privilégios e credenciais como whoami /priv, cmdkey /list e net group, sinais claros de que o atacante explora e prepara o terreno para movimentos posteriores.
O que torna mais preocupante este episódio é a combinação de vários fatores: a divulgação pública por parte do pesquisador, a existência de exploits e testes de conceito em circulação, e a confirmação de uso real por parte de atores maliciosos. Isso obrigou Huntress a tomar medidas de contenção na organização afetada para evitar que os atacantes aprofundem seu acesso ou se movam lateralmente dentro da rede.
Embora a Microsoft já corrigiu o BlueHammer no seu adesivo mensal, é importante que as equipes de segurança não considerem o risco fechado até que todas as falhas estejam mitigadas. A Microsoft publica suas atualizações e guias através do Centro de Resposta de Segurança ( Microsoft Security Update Guide) e convém verificar lá os boletins correspondentes. Para consultar a referência pública do identificador associado ao BlueHammer, consultar a base de dados de vulnerabilidade do NIST na entrada CVE‐2026‐33825.
Em situações como esta, além de aplicar adesivos quando disponíveis, as recomendações práticas incluem fortalecer a monitorização de endpoints e os mecanismos de detecção de atividade incomum, aplicar o princípio de menor privilégio em contas e serviços, e revisar os registros de segurança para identificar comandos e padrões indicadores de exploração ou exfiltração. A documentação da Microsoft sobre proteção e gestão da Microsoft Defender oferece orientação adicional sobre configuração e boas práticas ( Documentação oficial de Defender).
Os eventos recentes sublinham uma tendência problemática: a tensão entre pesquisadores que publicam exploit zero-dia e a janela temporal que deixam as organizações para patchar e mitigar. A cobertura jornalística e as equipas de resposta costumam contactar os fornecedores; neste caso, The Hacker News Ele informou sobre a situação e disse ter procurado comentário da Microsoft. Até à atualização desta nota, espera-se a resposta oficial que possa esclarecer o estado de mitigação para RedSun e UnDefend.
Para administradores e responsáveis pela segurança, a chave agora é agir com rapidez e prudência: instalar as correções disponíveis, endurecer a telemetria para detectar comandos suspeitos e, se detectarem compromisso, segmentar e isolar sistemas afetados para limitar o impacto. Os incidentes como este lembram que as soluções de segurança são tão fortes quanto a velocidade com que se aplicam os adesivos e a qualidade do monitoramento humano que as acompanha.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...