security-5043368_1280.jpg

CISA confirma exploração de falha do Defender

A agência de cibersegurança dos Estados Unidos, CISA, confirmou na última segunda-feira que grupos de ransomware estão explorando ativamente uma vulnerabilidade crítica de escalonamento de privilégios no Microsoft Defender, conhecida como BlueHammer. A falha, registrada como CVE-2026-33825 (CVSS de 7.8), havia sido usada anteriormente em ataques do tipo zero-day e agora representa uma ameaça direta a organizações que não aplicaram as correções disponíveis.

Escalonamento para privilégios máximos

A vulnerabilidade existe devido a uma “granularidade insuficiente de controle de acesso no Microsoft Defender”, conforme explicou a Microsoft em comunicado. A falha concede a atacantes locais acesso ao banco de dados Security Account Manager (SAM), que contém hashes de senhas de contas locais. Com esse acesso, é possível escalar privilégios para o nível SYSTEM, o mais alto no ambiente Windows, e assumir o controle total do sistema. A falha é particularmente perigosa em cenários pós-comprometimento, onde o atacante já possui acesso inicial à máquina.

Histórico de divulgação e uso em ataques

A falha foi divulgada publicamente no início de abril por um pesquisador conhecido como “Nightmare Eclipse”, que também publicou um código de prova de conceito (PoC) em protesto contra o processo de divulgação do Microsoft Security Response Center (MSRC). A Microsoft lançou uma atualização de segurança em 14 de abril, durante o Patch Tuesday daquele mês. No entanto, dias depois, pesquisadores da Huntress Labs revelaram que a vulnerabilidade já vinha sendo explorada como zero-day, com evidências de “atividade manual de teclado” por parte dos invasores. Em 22 de abril, a CISA adicionou o BlueHammer ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), determinando que agências do governo federal dos EUA aplicassem os patches em até duas semanas, até 7 de maio.

Série de divulgações e implicações para segurança

Nos últimos meses, o mesmo pesquisador divulgou vários outros exploits para vulnerabilidades zero-day no Windows, incluindo RoguePlanet, RedSun, GreenPlasma, MiniPlasma, YellowKey e UnDefend, afetando o Microsoft Defender, o BitLocker e outros componentes do sistema. A Microsoft corrigiu as falhas GreenPlasma, MiniPlasma e YellowKey há três semanas, como parte das atualizações de junho de 2026. A atualização no catálogo da CISA, informando o uso específico em campanhas de ransomware, reforça a urgência da correção, uma vez que a exploração bem-sucedida permite que criminosos executem código arbitrário, desabilitem controles de segurança, movimentem-se lateralmente pela rede e preparem sistemas para criptografia e extorsão. A agência recomenda que todas as organizações verifiquem a aplicação das atualizações de segurança do Microsoft Defender de abril de 2026 para mitigar o risco.