A exploração ativa de vulnerabilidades no Microsoft Defender acendeu um novo sinal de alerta para organizações e equipes de cibersegurança. A Huntress revelou que invasores estão se aproveitando de três falhas recentemente divulgadas no antivírus para expandir privilégios em sistemas já comprometidos, o que facilita movimentações internas e torna a resposta a incidentes mais complexa. As brechas foram apelidadas de BlueHammer, RedSun e UnDefend.
De acordo com a empresa, os problemas foram divulgados como zero-day por um pesquisador conhecido como Chaotic Eclipse, também chamado de Nightmare-Eclipse. A publicação ocorreu em meio a críticas sobre como a Microsoft lidou com o processo de disclosure. Duas vulnerabilidades — BlueHammer e RedSun — possibilitam elevação local de privilégios (LPE), enquanto a UnDefend pode causar negação de serviço (DoS) e impedir atualizações das definições do Defender, reduzindo sua capacidade de identificar ameaças recentes.
Na prática, o cenário preocupa porque essas falhas não funcionam necessariamente como ponto inicial de invasão, mas sim como facilitadoras de pós-exploração. Ou seja, após obter acesso inicial, o atacante pode utilizar essas vulnerabilidades para ganhar mais permissões, desativar mecanismos de defesa e ampliar o controle sobre o sistema afetado. Em ataques modernos, esse tipo de recurso costuma ser determinante para transformar uma intrusão limitada em um incidente mais grave, com risco de roubo de dados, sabotagem ou movimentação lateral pela rede.
Entre as três vulnerabilidades, apenas a BlueHammer foi corrigida até o momento. A Microsoft incluiu o patch na atualização mais recente do Patch Tuesday, registrando a falha como CVE-2026-33825. Já RedSun e UnDefend seguem sem correção disponível, ampliando a exposição de empresas que utilizam o Defender como solução central de proteção de endpoints.
Segundo a Huntress, a exploração da BlueHammer em ataques reais foi identificada desde 10 de abril de 2026. Poucos dias depois, em 16 de abril, também houve uso de provas de conceito relacionadas às falhas RedSun e UnDefend. Esse curto intervalo entre divulgação e exploração demonstra como a operacionalização de vulnerabilidades está cada vez mais rápida, reduzindo o tempo de reação das organizações para horas — não mais semanas.
Outro aspecto relevante é o comportamento observado durante os ataques. Antes de explorar as falhas, os invasores executaram comandos comuns de reconhecimento e verificação de privilégios, como whoami /priv, cmdkey /list e net group. Esse padrão indica atividade “hands-on-keyboard”, caracterizada pela atuação manual do atacante dentro do ambiente, e não apenas por ações automatizadas.
Esse fator eleva o nível de gravidade. Quando a elevação de privilégios é combinada com acesso interativo, aumentam os riscos de persistência, evasão de controles, desativação de proteções e até preparação para ransomware ou exfiltração de dados. No caso da UnDefend, a possibilidade de bloquear atualizações de assinaturas é estratégica, pois reduz a eficácia do antivírus e abre uma janela adicional para atividades maliciosas sem detecção.
A Huntress informou que conseguiu isolar o ambiente comprometido e impedir avanços adicionais do ataque. Ainda assim, o episódio evidencia uma tendência crescente no cenário de ameaças: ferramentas de segurança nativas também passaram a ser alvo direto de exploração, seja para desativação, evasão ou abuso de privilégios elevados. Em vez de focar apenas em aplicações expostas, muitos atacantes agora miram diretamente os mecanismos de defesa.
Para as empresas, o caso reforça a necessidade de ir além do modelo básico de proteção. Estratégias eficazes exigem atualização rápida de patches, monitoramento contínuo de comportamentos suspeitos, restrição de privilégios, detecção de comandos administrativos fora do padrão e capacidade ágil de resposta a incidentes. Quando não há correção disponível, a mitigação depende ainda mais de visibilidade, hardening e vigilância constante.
Enquanto a Microsoft trabalha na correção completa das falhas, o mercado acompanha o risco residual deixado pelas vulnerabilidades ainda abertas. O episódio mostra que até soluções amplamente adotadas podem se tornar vetores de ataque em pouco tempo — especialmente quando envolvem escalada de privilégios e impacto direto na própria camada de proteção.
