Nas últimas semanas, vimos como vulnerabilidades recentemente reveladas no Windows passaram rapidamente de ser um dado laboratorial a se tornar ferramentas ativas nos arsenais de atacantes. Três falhas relacionadas à Microsoft Defender, publicadas por um pesquisador que se identifica como "Chaotic Eclipse" ou "Nightmare-Eclipse", já estão sendo explorados para escalar privilégios até SYSTEM ou para sabotar a própria proteção antivírus, segundo pesquisas e observações de equipes de resposta a incidentes.
O contexto importa: Os exploits que foram originalmente filtrados incluíam código de teste de conceito (PoC) que o autor publicou em protesto pelo processo de comunicação de vulnerabilidades com a Microsoft. Essa publicação expôs as falhas antes de existirem adesivos completos para todos eles, e provocou que atores maliciosos os incorporaram em suas campanhas. A Microsoft distingue estas falhas como zero-days na medida em que não tinham correção quando se tornaram públicos; você pode consultar a definição oficial na documentação da Microsoft sobre vulnerabilidades zero-day em Defender neste link: Microsoft – Zero-day vulnerabilities.
Os três vetores em questão têm nomes que já circulam na comunidade: BlueHammer, RedSun e UnDefend. BlueHammer foi rastreado como CVE‐2026‐33825 e a Microsoft incluiu-o em suas atualizações de abril de 2026, pelo que aplicar esse adesivo mitiga especificamente essa ameaça. No entanto, as outras duas técnicas —RedSun e UnDefend — seguem sem correção oficial no momento em que foram publicadas as observações das equipes de resposta, e foram usadas em ataques reais, conforme relatado por Huntress Labs: mensagem de Huntress e acompanhamento técnico.
O que faz cada exploit e por que preocupa: UmDefend permite a um usuário padrão bloquear atualizações de definições da Microsoft Defender. Isso não é apenas um incômodo: cortar atualizações do motor/firmas facilita que malware passe despercebido e que posteriores etapas de um ataque se instalem sem serem detectadas. RedSun, por sua vez, aproveita um comportamento específico do serviço para sobrepor arquivos e elevar privilégios até SYSTEM quando Defender está ativo; o teste de conceito explica como se abusa do manejo de certos arquivos associados a deteções com etiquetas na nuvem para provocar uma reescrita sobre arquivos sensíveis, ganhando assim controle elevado do sistema — o repositório do PoC está disponível no GitHub: GitHub – RedSun. BlueHammer é outra técnica de escalada que a Microsoft sistemaizou no boletim de abril, pelo que seu risco imediato diminui se os sistemas estiverem atualizados.
Os incidentes observados não são meras explorações automatizadas. Huntress documentou casos em que os atacantes acederam a dispositivos através de credenciais comprometidas de SSLVPN e, após comprometer uma máquina, usaram essas técnicas em um padrão de "hands-on-keyboard", ou seja, atividade manual e direcionada de um operador humano. Isso aumenta o perigo: quando um atacante consegue contexto e controle remoto, técnicas como UnDefend servem para sustentar a persistência e reduzir a visibilidade de suas ações enquanto exibem ferramentas que requerem privilégios.
O debate sobre a divulgação coordenada: parte do problema aqui foi a disputa entre o pesquisador que publicou os PoC e Microsoft sobre os tempos e a gestão da correção. A Microsoft reiterou o seu compromisso com a divulgação coordenada para investigar vulnerabilidades e proteger os clientes antes de uma divulgação pública massiva; a empresa costuma preferir trabalhar com os pesquisadores para resolver incidências antes de o código ou os detalhes estarem disponíveis publicamente. A publicação precoce por parte do pesquisador acelerou a exposição e permitiu seu aproveitamento por atores maliciosos, o que levanta questões complexas sobre responsabilidade, pressão dos pesquisadores e prioridades na reparação de falhas críticas.
O que podem fazer as organizações e os usuários agora mesmo: O primeiro e mais urgente é verificar e aplicar as atualizações oficiais da Microsoft: a correção que aborda BlueHammer chegou com as atualizações de abril de 2026, pelo que instalar adesivos reduz exposição a essa técnica. Mas, dado que a RedSun e a UnDefend seguiam sem adesivos pelo menos no momento dos relatórios, os equipamentos de segurança devem assumir que esses vetores podem ser explorados e agir em conformidade. É recomendável reforçar a telemetria e o monitoramento em endpoints com especial atenção a sinais de manipulação do serviço de Defender, atividade de sobrescrito de arquivos do sistema ou mudanças nas regras e atualizações de assinaturas. Também é crítico rever acessos remotos (como SSLVPN), assegurando que a autenticação multifator, credenciais fortes e políticas de acesso mínimo; Huntress vinculou pelo menos um caso com credenciais VPN comprometidas: observação de Huntress.
Além disso, convém consultar análises técnicas e detalhes publicados por meios de confiança para entender indicadores de compromisso e técnicas utilizadas. BleepingComputer cobriu extensivamente estas falhas e seus PoC em artigos detalhados que explicam a mecânica da RedSun e outros vectores; suas notas técnicas ajudam a priorizar detecções e mitigações: BleepingComputer – RedSun e BleepingComputer – BlueHammer.
Reflexão final: Essa série de divulgações e exploração mostra a tensão real entre rapidez na correção e pressão pública da comunidade pesquisadora. Enquanto as organizações aguardam adesivos, os atacantes não o fazem: incorporam provas de conceito e técnicas nas suas operações. Para os equipamentos de segurança corporativos e administradores domésticos, a lição é dupla: manter sistemas atualizados reduz risco frente a vulnerabilidades adesivos, e uma estratégia proativa de detecção e segmentação de rede continua a ser imprescindível para mitigar falhas que ainda não têm correção. A combinação de boas práticas em gestão de acesso, uma política robusta de sistemas e visibilidade contínua em endpoints é hoje a melhor defesa contra estas ameaças em evolução.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...