Hackers estão tirando proveito de vulnerabilidades no Microsoft Defender, e duas delas seguem sem correção oficial, acendendo um alerta sério para empresas e equipes de segurança. De acordo com a Huntress, criminosos já exploram ativamente três falhas recém-divulgadas no antivírus nativo da Microsoft para ampliar privilégios em sistemas já comprometidos, facilitando movimentação lateral na rede e dificultando a contenção de incidentes. As brechas foram apelidadas de BlueHammer, RedSun e UnDefend.
Essas vulnerabilidades vieram a público como zero-day, divulgadas por um pesquisador conhecido como Chaotic Eclipse, também referido como Nightmare-Eclipse, no meio de fortes críticas à forma como a Microsoft gerenciou o processo de comunicação dos problemas. A discussão em torno da divulgação expôs, mais uma vez, o atrito entre pesquisadores independentes e grandes fornecedores de software quanto a prazos de correção e transparência com os usuários corporativos.
Entre as falhas, BlueHammer e RedSun permitem elevação local de privilégios (LPE). Na prática, isso significa que um invasor que já tenha algum nível de acesso ao sistema – por exemplo, como usuário com permissões limitadas – pode usar essas brechas para se transformar em administrador ou obter permissões de sistema. Já a terceira vulnerabilidade, UnDefend, é explorada para criar uma condição de negação de serviço (DoS) no próprio Defender, interrompendo as atualizações de assinatura e reduzindo a capacidade da ferramenta de reconhecer novas ameaças.
O maior risco não está na etapa inicial do ataque, mas no que vem depois. Essas falhas não funcionam, em geral, como porta de entrada, e sim como amplificadores de pós-exploração. Uma vez dentro do ambiente, o criminoso passa a usá-las para escalar privilégios, desativar camadas de proteção, ocultar rastros e ganhar controle quase total sobre a máquina comprometida. Em ataques modernos, esse tipo de artifício é o que transforma uma invasão pontual em um incidente grave, com potencial para roubo massivo de dados, sabotagem de serviços críticos ou avanço silencioso para outros servidores e estações da rede.
Até o momento, apenas a vulnerabilidade BlueHammer recebeu um patch. A Microsoft incluiu a correção no ciclo de atualizações de segurança mais recente, passando a rastrear o problema sob o identificador CVE-2026-33825. Em contraste, RedSun e UnDefend continuam sem atualização disponibilizada, mantendo uma janela de exposição aberta para organizações que dependem do Defender como peça central da proteção de endpoint.
A Huntress relata que observou o uso da BlueHammer em ataques reais desde 10 de abril de 2026. Em 16 de abril, poucos dias depois da divulgação técnica, também foram detectados casos em que os códigos de prova de conceito de RedSun e UnDefend foram colocados em prática. Esse intervalo extremamente curto entre a publicação de detalhes técnicos e sua incorporação por grupos maliciosos evidencia como o ciclo de exploração vem se acelerando: hoje, o tempo de reação necessário por parte das empresas deixou de ser medido em semanas e passou a ser uma corrida de horas.
Outro aspecto relevante é o contexto operacional em que as falhas foram usadas. Antes de acionar os exploits, os invasores executaram comandos clássicos de reconhecimento e verificação de privilégios, como whoami /priv, cmdkey /list e net group. Essa sequência é fortemente associada ao chamado modo “hands-on-keyboard”, em que há atuação manual do atacante dentro do ambiente, e não apenas scripts automatizados rodando em massa. Ou seja, não se trata de disparos cegos de exploits, mas de operações direcionadas, com objetivos específicos de ampliar acesso e preparar o terreno para etapas subsequentes.
Combinar falhas de elevação de privilégio com presença interativa do atacante aumenta significativamente o impacto potencial. Esse cenário passa a envolver persistência de longo prazo no ambiente, evasão de ferramentas de monitoramento, desativação de proteções, criação de contas ocultas, ajustes em políticas de segurança e até preparação para ataques de ransomware ou exfiltração silenciosa de dados sensíveis. No caso específico da UnDefend, a possibilidade de bloquear atualizações de assinaturas do Defender é ainda mais estratégica: com o antivírus desatualizado, a janela para operar sem detecção se amplia, já que novas variantes de malware deixam de ser reconhecidas.
Segundo a Huntress, a organização afetada teve máquinas isoladas rapidamente para impedir que o ataque avançasse. Ainda assim, o episódio reforça uma tendência clara: ferramentas nativas de segurança se tornaram alvo prioritário para adversários qualificados. Em vez de apenas buscar falhas em aplicações expostas à internet ou em serviços de borda, muitos grupos estão focando diretamente nos mecanismos que deveriam defendê-los, explorando formas de desativar, contornar, corromper ou abusar de componentes de segurança incorporados ao sistema operacional.
Esse contexto exige que as empresas abandonem a ideia de que “ter antivírus instalado e atualizado” é suficiente. A proteção moderna depende de um conjunto articulado de práticas: gestão ágil de patches, monitoramento de comportamento suspeito, princípio de privilégio mínimo aplicado de forma rigorosa, vigilância sobre comandos administrativos fora do padrão, segmentação de rede, isolamento rápido de endpoints suspeitos e uma capacidade real de resposta a incidentes, com processos, pessoas e tecnologia prontos para agir.
Enquanto não há correções para RedSun e UnDefend, a mitigação passa a ser um componente crítico da estratégia de defesa. Isso inclui, por exemplo, reduzir ao mínimo o número de usuários com privilégios administrativos locais, revisar periodicamente grupos e permissões, endurecer políticas de execução de scripts, adotando listas de permissões (allowlists) quando possível, e reforçar o controle de aplicações para impedir que binários suspeitos sejam executados em primeiro lugar.
Outra medida importante é intensificar a observabilidade do ambiente. Logs do Windows, eventos do Defender e registros de ferramentas de EDR devem ser analisados em busca de padrões vinculados a essas falhas, como tentativas repetidas de desativar componentes de segurança, falhas incomuns na atualização de assinaturas, uso atípico de comandos administrativos e acessos fora do horário padrão. Sistemas de detecção baseados em comportamento podem ser configurados para disparar alertas quando cadeias de comandos similares às observadas pela Huntress forem detectadas.
Equipes de segurança também precisam revisar seus planos de resposta para cenários em que o próprio mecanismo de proteção é alvo do ataque. Isso significa estar preparado para, se necessário, recorrer temporariamente a ferramentas complementares, isolar máquinas em segmentos de rede mais restritos, aplicar regras adicionais em firewalls internos e ajustar políticas de acesso remoto. Em ambientes críticos, pode ser recomendável reforçar a detecção com soluções de segurança em camadas, como sensores na rede, análise de tráfego e controles em e-mail e aplicações na nuvem.
Do ponto de vista de governança, o caso reforça a urgência de uma postura de segurança baseada em risco. Ferramentas amplamente distribuídas, como o Microsoft Defender, se tornam superfícies de ataque muito atraentes porque estão presentes em milhões de dispositivos. Isso exige que as organizações avaliem continuamente a dependência de um único produto como pilar central de defesa e considerem estratégias de diversificação, pelo menos em ativos mais sensíveis e em funções críticas de negócio.
Para empresas que não dispõem de um grande time interno de segurança, é essencial ao menos implementar práticas básicas bem estabelecidas: manter o sistema operacional e os aplicativos atualizados, restringir ao máximo o uso de contas administrativas, ativar autenticação multifator em todos os acessos possíveis, revisar periodicamente políticas de acesso remoto e realizar testes de restauração de backup. Em cenários de exploração ativa de falhas sem patch, ter cópias de segurança íntegras e isoladas pode ser a única linha de defesa eficaz contra ataques mais destrutivos, como ransomware.
Também é recomendável que as organizações invistam em treinamento voltado para equipes de TI e segurança, focando especificamente em técnicas de pós-exploração. Entender como atacantes se movem após ganhar o primeiro ponto de apoio – como usam elevação de privilégio, escalonamento lateral e desativação de defesas – ajuda a montar detecções mais assertivas e a priorizar melhor os controles. Simulações de ataques (como exercícios de Red Team ou tabletop exercises) podem expor lacunas de processo, comunicação e tecnologia que só aparecem em cenários práticos.
Por fim, o episódio envolvendo BlueHammer, RedSun e UnDefend é um lembrete de que a superfície de ataque não se limita a aplicações de terceiros ou serviços expostos na internet. O próprio stack de segurança dos sistemas operacionais virou alvo. Em um ambiente em que vulnerabilidades são rapidamente operacionalizadas por criminosos, a diferença entre uma tentativa frustrada e um incidente grave está na velocidade de reação, na maturidade dos processos internos e na capacidade de enxergar além do simples “instalar o antivírus e confiar que ele fará todo o trabalho”.