Microsoft Corrige Vulnerabilidades Zero-Day UnDefend e RedSun
A Microsoft lançou atualizações fora do ciclo para corrigir duas vulnerabilidades zero-day no Microsoft Defender, exploradas em ataques reais. As falhas, conhecidas como RedSun e UnDefend, permitiam elevação de privilégios e negação de serviço.
MundiX News·27 de maio de 2026·3 min de leitura·👁 11 views
A Microsoft lançou atualizações fora do ciclo para corrigir duas vulnerabilidades zero-day no Microsoft Defender, que estavam sendo ativamente exploradas em ataques. As falhas, identificadas como CVE-2026-41091 e CVE-2026-45498, são conhecidas pelos nomes RedSun e UnDefend, respectivamente. A correção demonstra a urgência com que a Microsoft está lidando com as ameaças, especialmente aquelas que já estão sendo utilizadas em ataques no mundo real.
A primeira vulnerabilidade, RedSun, recebeu uma pontuação de 7.8 na escala CVSS, indicando uma severidade alta. Trata-se de uma falha de LPE (Local Privilege Escalation), relacionada ao tratamento incorreto de links antes do acesso a arquivos (link following). A exploração bem-sucedida dessa falha permite que um atacante local obtenha privilégios de SYSTEM, o que significa controle total sobre o sistema comprometido. A segunda vulnerabilidade, UnDefend, embora com uma pontuação CVSS menor (4.0), também é perigosa. Ela permite que um usuário comum coloque o Defender em um estado de negação de serviço (DoS), essencialmente quebrando a capacidade de atualização das assinaturas antivírus. Isso deixa o sistema vulnerável a novas ameaças.
As vulnerabilidades afetavam o Microsoft Malware Protection Engine 1.1.26030.3008 e versões anteriores, bem como a Microsoft Defender Antimalware Platform 4.18.26030.3011 e inferiores. As correções foram implementadas nas atualizações 1.1.26040.8 e 4.18.26040.7, respectivamente. A Microsoft enfatiza que sistemas com o Defender desativado não são suscetíveis à exploração, mesmo que os arquivos antivírus estejam presentes no disco. A CISA (Cybersecurity and Infrastructure Security Agency) já incluiu ambas as vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), e as agências federais dos EUA foram instruídas a corrigi-las até 3 de junho de 2026. A Microsoft não divulgou detalhes técnicos significativos sobre as vulnerabilidades, mas, de acordo com o Microsoft MVP Fabian Bader, as correções estão relacionadas aos problemas BlueHammer, RedSun e UnDefend, cujas informações e exploits foram publicados em acesso aberto pelo pesquisador de segurança Chaos Eclipse (também conhecido como Nightmare-Eclipse) no mês passado.
Após a publicação dos patches, Nightmare Eclipse confirmou que CVE-2026-45498 corresponde à falha UnDefend e CVE-2026-41091 a RedSun. O pesquisador afirmou que publicou os exploits em protesto contra o tratamento dado a especialistas em segurança pelo Microsoft Security Response Center (MSRC). Ele alega ter sido ameaçado pela Microsoft. Em uma nova mensagem, Nightmare Eclipse prometeu lançar um próximo "release" em 14 de julho de 2026 e continuou a ameaçar a empresa, indicando que a Microsoft removeu sua conta do GitHub e sua conta Microsoft, além de ter se recusado a se comunicar com ele. Ele insinuou possuir documentos relacionados à empresa, que ainda não foram publicados. A situação levanta questões sobre a relação entre pesquisadores de segurança e empresas de tecnologia, e o impacto da publicação de exploits em ataques reais.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A Microsoft lançou atualizações fora do ciclo para corrigir duas vulnerabilidades zero-day no Microsoft Defender, que estavam sendo ativamente exploradas em ataques. As falhas, identificadas como CVE-2026-41091 e CVE-2026-45498, são conhecidas pelos nomes RedSun e UnDefend, respectivamente. A correção demonstra a urgência com que a Microsoft está lidando com as ameaças, especialmente aquelas que já estão sendo utilizadas em ataques no mundo real.
A primeira vulnerabilidade, RedSun, recebeu uma pontuação de 7.8 na escala CVSS, indicando uma severidade alta. Trata-se de uma falha de LPE (Local Privilege Escalation), relacionada ao tratamento incorreto de links antes do acesso a arquivos (link following). A exploração bem-sucedida dessa falha permite que um atacante local obtenha privilégios de SYSTEM, o que significa controle total sobre o sistema comprometido. A segunda vulnerabilidade, UnDefend, embora com uma pontuação CVSS menor (4.0), também é perigosa. Ela permite que um usuário comum coloque o Defender em um estado de negação de serviço (DoS), essencialmente quebrando a capacidade de atualização das assinaturas antivírus. Isso deixa o sistema vulnerável a novas ameaças.
As vulnerabilidades afetavam o Microsoft Malware Protection Engine 1.1.26030.3008 e versões anteriores, bem como a Microsoft Defender Antimalware Platform 4.18.26030.3011 e inferiores. As correções foram implementadas nas atualizações 1.1.26040.8 e 4.18.26040.7, respectivamente. A Microsoft enfatiza que sistemas com o Defender desativado não são suscetíveis à exploração, mesmo que os arquivos antivírus estejam presentes no disco. A CISA (Cybersecurity and Infrastructure Security Agency) já incluiu ambas as vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), e as agências federais dos EUA foram instruídas a corrigi-las até 3 de junho de 2026. A Microsoft não divulgou detalhes técnicos significativos sobre as vulnerabilidades, mas, de acordo com o Microsoft MVP Fabian Bader, as correções estão relacionadas aos problemas BlueHammer, RedSun e UnDefend, cujas informações e exploits foram publicados em acesso aberto pelo pesquisador de segurança Chaos Eclipse (também conhecido como Nightmare-Eclipse) no mês passado.
Após a publicação dos patches, Nightmare Eclipse confirmou que CVE-2026-45498 corresponde à falha UnDefend e CVE-2026-41091 a RedSun. O pesquisador afirmou que publicou os exploits em protesto contra o tratamento dado a especialistas em segurança pelo Microsoft Security Response Center (MSRC). Ele alega ter sido ameaçado pela Microsoft. Em uma nova mensagem, Nightmare Eclipse prometeu lançar um próximo "release" em 14 de julho de 2026 e continuou a ameaçar a empresa, indicando que a Microsoft removeu sua conta do GitHub e sua conta Microsoft, além de ter se recusado a se comunicar com ele. Ele insinuou possuir documentos relacionados à empresa, que ainda não foram publicados. A situação levanta questões sobre a relação entre pesquisadores de segurança e empresas de tecnologia, e o impacto da publicação de exploits em ataques reais.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
