Pesquisadores da Huntress Labs confirmaram que três vulnerabilidades no Windows estão sendo ativamente exploradas por agentes de ameaça. O objetivo é obter privilégios elevados em sistemas comprometidos. Duas das falhas ainda não têm correção disponível da Microsoft.Os três exploits foram criados e divulgados publicamente por um pesquisador de segurança identificado pelos pseudônimos "Chaotic Eclipse" e "Nightmare-Eclipse". A publicação foi um ato de protesto contra a forma como o Microsoft Security Response Center (MSRC) conduziu o processo de divulgação responsável das falhas.Perfil do pesquisador Nightmare-Eclipse no GitHub, com os três repositórios públicos envolvidos nos ataques: BlueHammer (1,3 mil estrelas), RedSun (632 estrelas) e UnDefend (103 estrelas). Imagem: Huntress Labs.Duas das vulnerabilidades, batizadas de BlueHammer e RedSun, são falhas de escalonamento local de privilégios no Microsoft Defender. A terceira, chamada UnDefend, permite que um usuário padrão bloqueie atualizações de definições do Defender sem precisar de permissões administrativas.BlueHammer explorada desde 10 de abril; RedSun e UnDefend seguem sem patchA Huntress Labs identificou o uso ativo das três técnicas de exploração. A falha BlueHammer está sendo explorada desde 10 de abril. A Microsoft a catalogou como CVE-2026-33825 e incluiu uma correção no Patch Tuesday de abril de 2026.Repositório público do exploit RedSun no GitHub, mantido pelo pesquisador Nightmare-Eclipse. Imagem: Huntress Labs.RedSun e UnDefend, no entanto, permanecem sem correção. As duas foram identificadas em um dispositivo comprometido por meio de um usuário de SSLVPN com credenciais vazadas.Os pesquisadores encontraram evidências de "atividade hands-on-keyboard", expressão que indica presença ativa de um operador humano no sistema comprometido, em vez de automação.Defender vira vetor do próprio ataque no caso do RedSunO exploit RedSun afeta Windows 10, Windows 11 e Windows Server 2019 e versões posteriores quando o Windows Defender está ativo. A falha persiste mesmo após a aplicação dos patches do Patch Tuesday de abril.Painel da Huntress Labs mostra oito detecções em um mesmo dispositivo, incluindo entradas do tipo Exploit:Win32/ e o processo RedSun.exe entre os arquivos sinalizados. Imagem: Huntress Labs.O mecanismo explorado é uma falha no comportamento do próprio antivírus. "Quando o Windows Defender percebe que um arquivo malicioso tem uma cloud tag, por algum motivo estúpido e hilário, o antivírus que deveria proteger decide que é uma boa ideia simplesmente reescrever o arquivo encontrado de volta ao seu local original", explicou o pesquisador.Basicamente, o código de demonstração da falha abusa desse comportamento para sobrescrever arquivos de sistema e obter privilégios administrativos.Log do Microsoft Defender registrando a detecção do exploit BlueHammer, identificado como Exploit:Win32/DfndrPEBluHmr.BZ, em 10 de abril de 2026. Imagem: Huntress Labs.Como se protegerNo momento em que os exploits foram divulgados, nenhuma das três falhas tinha patch oficial da Microsoft, o que as classificava como zero-days — vulnerabilidades conhecidas publicamente sem correção disponível.Usuários e administradores de sistemas Windows devem aplicar os patches de abril imediatamente e monitorar atividades suspeitas relacionadas ao Defender enquanto RedSun e UnDefend aguardam correção.Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.