Pesquisador Publica Exploits PoC para Vulnerabilidades Zero-Day no Microsoft Defender
Um pesquisador de segurança, conhecido como Chaotic Eclipse, divulgou exploits PoC (Proof of Concept) para três vulnerabilidades zero-day no Microsoft Defender, incluindo RedSun e UnDefend. A Huntress detectou a exploração dessas falhas em ataques reais, destacando a urgência de atualizações.
MundiX News·09 de maio de 2026·3 min de leitura·👁 4 views
O pesquisador Chaotic Eclipse, que anteriormente publicou o exploit BlueHammer para uma vulnerabilidade não corrigida no Windows, intensificou sua "cruzada" contra a Microsoft, liberando mais dois exploits zero-day para o Microsoft Defender: RedSun e UnDefend. Especialistas da Huntress já detectaram a exploração das três vulnerabilidades em ataques reais.
As três vulnerabilidades (BlueHammer, RedSun e UnDefend) foram disponibilizadas publicamente por Chaotic Eclipse (também conhecido como Nightmare-Eclipse). Anteriormente, já havíamos relatado sobre o primeiro exploit desta série, o BlueHammer. Na época, o pesquisador publicou informações no GitHub em protesto contra a forma como o Microsoft Security Response Center (MSRC) lidou com seu relatório sobre o problema. O que exatamente motivou o pesquisador a publicar o exploit permaneceu obscuro. Ele agradeceu sarcasticamente à liderança do MSRC e escreveu que, ao contrário de vezes anteriores, não iria explicar como o problema funcionava: "Vocês, gênios, descobrirão sozinhos".
No final da semana passada, Chaotic Eclipse retornou com novas informações e divulgou mais dois exploits: RedSun e UnDefend. Desta vez, o pesquisador afirmou que estava publicando os exploits em protesto contra a forma como o MSRC trata os especialistas em segurança que relatam vulnerabilidades. Segundo ele, representantes da Microsoft o ameaçaram e prometeram "arruinar sua vida". "Normalmente, eu passaria por todo o processo, implorando para que corrigissem o bug, mas, resumindo, eles me trataram com desdém e usaram todos os truques infantis possíveis. Em algum momento, não consegui entender se estava lidando com uma corporação enorme ou com alguém que simplesmente gosta de me ver sofrer", escreve Chaotic Eclipse. O pesquisador também afirmou que o MSRC estava ciente da iminente divulgação de ambas as vulnerabilidades, mas ignorou os avisos. Chaotic Eclipse ameaçou que, no futuro, começará a publicar exploits para execução remota de código (RCE) após cada patch da Microsoft e pretende tornar cada publicação subsequente "ainda mais divertida".
Se BlueHammer e RedSun representam vulnerabilidades de elevação de privilégio local, permitindo a obtenção de direitos de nível SYSTEM, então UnDefend funciona de forma diferente e provoca uma negação de serviço, bloqueando, em última análise, a atualização dos bancos de dados do Microsoft Defender. Os desenvolvedores da Microsoft corrigiram o problema BlueHammer como parte da "terça-feira de atualizações" de abril, atribuindo-lhe o identificador CVE-2026-33825. No entanto, ainda não existem patches para RedSun e UnDefend.
O exploit RedSun utiliza características do comportamento da proteção em nuvem do Windows Defender. Como explica o autor, quando o Defender detecta um arquivo com uma tag de nuvem, por alguma razão, ele o sobrescreve em seu local original. O PoC abusa desse comportamento para sobrescrever arquivos do sistema e obter privilégios administrativos. Will Dormann, conhecido especialista em segurança e analista líder de vulnerabilidades da Tharros, confirmou que RedSun funciona e permite obter direitos de nível SYSTEM em Windows 10, Windows 11 e Windows Server 2019 totalmente corrigidos. Segundo Dormann, o exploit usa a Cloud Files API, grava um arquivo de teste EICAR, ganha uma condição de corrida com uma cópia de sombra do volume usando oplock e, em seguida, através de uma junção de diretório, redireciona a sobrescrita para C:\Windows\system32\TieringEngineService.exe. Como resultado, a infraestrutura do Cloud Files executa o arquivo executável fornecido pelo atacante em nome do SYSTEM. O especialista também observou que vários antivírus apresentados no VirusTotal detectam o exploit devido ao arquivo EICAR embutido nele, mas a criptografia da string EICAR dentro do arquivo executável reduz o nível de detecção.
Analistas da Huntress alertam que a exploração do problema BlueHammer em ataques reais começou em 10 de abril de 2026, e os invasores começaram a usar RedSun e UnDefend em 16 de abril. Em particular, os pesquisadores descobriram os exploits UnDefend e RedSun em um dispositivo rodando Windows, hackeado com um usuário SSLVPN comprometido. Nesta ataque, foram observados sinais característicos de "trabalho manual": antes de aplicar os exploits, os hackers executaram manualmente comandos de reconhecimento como whoami /priv, cmdkey /list e net group. Representantes da Microsoft disseram à mídia que a empresa já está investigando relatos de problemas de segurança e lançando atualizações "o mais rápido possível". A empresa também lembrou seu compromisso com o princípio da divulgação coordenada de vulnerabilidades, sob o qual os detalhes dos bugs são publicados somente após a liberação das correções.
O pesquisador Chaotic Eclipse, que anteriormente publicou o exploit BlueHammer para uma vulnerabilidade não corrigida no Windows, intensificou sua "cruzada" contra a Microsoft, liberando mais dois exploits zero-day para o Microsoft Defender: RedSun e UnDefend. Especialistas da Huntress já detectaram a exploração das três vulnerabilidades em ataques reais.
As três vulnerabilidades (BlueHammer, RedSun e UnDefend) foram disponibilizadas publicamente por Chaotic Eclipse (também conhecido como Nightmare-Eclipse). Anteriormente, já havíamos relatado sobre o primeiro exploit desta série, o BlueHammer. Na época, o pesquisador publicou informações no GitHub em protesto contra a forma como o Microsoft Security Response Center (MSRC) lidou com seu relatório sobre o problema. O que exatamente motivou o pesquisador a publicar o exploit permaneceu obscuro. Ele agradeceu sarcasticamente à liderança do MSRC e escreveu que, ao contrário de vezes anteriores, não iria explicar como o problema funcionava: "Vocês, gênios, descobrirão sozinhos".
No final da semana passada, Chaotic Eclipse retornou com novas informações e divulgou mais dois exploits: RedSun e UnDefend. Desta vez, o pesquisador afirmou que estava publicando os exploits em protesto contra a forma como o MSRC trata os especialistas em segurança que relatam vulnerabilidades. Segundo ele, representantes da Microsoft o ameaçaram e prometeram "arruinar sua vida". "Normalmente, eu passaria por todo o processo, implorando para que corrigissem o bug, mas, resumindo, eles me trataram com desdém e usaram todos os truques infantis possíveis. Em algum momento, não consegui entender se estava lidando com uma corporação enorme ou com alguém que simplesmente gosta de me ver sofrer", escreve Chaotic Eclipse. O pesquisador também afirmou que o MSRC estava ciente da iminente divulgação de ambas as vulnerabilidades, mas ignorou os avisos. Chaotic Eclipse ameaçou que, no futuro, começará a publicar exploits para execução remota de código (RCE) após cada patch da Microsoft e pretende tornar cada publicação subsequente "ainda mais divertida".
Se BlueHammer e RedSun representam vulnerabilidades de elevação de privilégio local, permitindo a obtenção de direitos de nível SYSTEM, então UnDefend funciona de forma diferente e provoca uma negação de serviço, bloqueando, em última análise, a atualização dos bancos de dados do Microsoft Defender. Os desenvolvedores da Microsoft corrigiram o problema BlueHammer como parte da "terça-feira de atualizações" de abril, atribuindo-lhe o identificador CVE-2026-33825. No entanto, ainda não existem patches para RedSun e UnDefend.
O exploit RedSun utiliza características do comportamento da proteção em nuvem do Windows Defender. Como explica o autor, quando o Defender detecta um arquivo com uma tag de nuvem, por alguma razão, ele o sobrescreve em seu local original. O PoC abusa desse comportamento para sobrescrever arquivos do sistema e obter privilégios administrativos. Will Dormann, conhecido especialista em segurança e analista líder de vulnerabilidades da Tharros, confirmou que RedSun funciona e permite obter direitos de nível SYSTEM em Windows 10, Windows 11 e Windows Server 2019 totalmente corrigidos. Segundo Dormann, o exploit usa a Cloud Files API, grava um arquivo de teste EICAR, ganha uma condição de corrida com uma cópia de sombra do volume usando oplock e, em seguida, através de uma junção de diretório, redireciona a sobrescrita para C:\Windows\system32\TieringEngineService.exe. Como resultado, a infraestrutura do Cloud Files executa o arquivo executável fornecido pelo atacante em nome do SYSTEM. O especialista também observou que vários antivírus apresentados no VirusTotal detectam o exploit devido ao arquivo EICAR embutido nele, mas a criptografia da string EICAR dentro do arquivo executável reduz o nível de detecção.
Analistas da Huntress alertam que a exploração do problema BlueHammer em ataques reais começou em 10 de abril de 2026, e os invasores começaram a usar RedSun e UnDefend em 16 de abril. Em particular, os pesquisadores descobriram os exploits UnDefend e RedSun em um dispositivo rodando Windows, hackeado com um usuário SSLVPN comprometido. Nesta ataque, foram observados sinais característicos de "trabalho manual": antes de aplicar os exploits, os hackers executaram manualmente comandos de reconhecimento como whoami /priv, cmdkey /list e net group. Representantes da Microsoft disseram à mídia que a empresa já está investigando relatos de problemas de segurança e lançando atualizações "o mais rápido possível". A empresa também lembrou seu compromisso com o princípio da divulgação coordenada de vulnerabilidades, sob o qual os detalhes dos bugs são publicados somente após a liberação das correções.
