Windows Defender sob Ataque: Três Exploits 0-day em 13 Dias, Dois Ainda Sem Correção
Um pesquisador anônimo divulgou três exploits críticos contra o Microsoft Defender em um curto período de abril de 2026. Dois deles exploram o próprio Defender como ferramenta de ataque e permanecem sem correção, representando um risco significativo para ambientes Windows.
MundiX News·09 de maio de 2026·5 min de leitura·👁 2 views
Nas primeiras duas semanas de abril de 2026, um pesquisador de segurança anônimo chocou a comunidade ao divulgar publicamente três exploits funcionais contra o Microsoft Defender. Todos os três exploits permitem que um usuário comum, sem privilégios administrativos, obtenha acesso ao nível SYSTEM. O mais alarmante é que, no momento da publicação deste artigo, dois desses exploits ainda não possuem correção (patch), e a empresa Huntress já identificou sua exploração em ataques reais. Em dois dos casos, o antivírus não é apenas contornado, mas utilizado ativamente como um vetor de entrega de malware. O próprio Defender, com seus privilégios SYSTEM, é instruído a escrever um arquivo malicioso diretamente em C:\Windows\System32.
O primeiro exploit, batizado de BlueHammer, foi divulgado em 3 de abril no GitHub. Este exploit de elevação de privilégios (LPE) permite que um usuário comum alcance o nível SYSTEM explorando o mecanismo de remediação do Defender. A Microsoft corrigiu essa vulnerabilidade em 14 de abril, como parte do Patch Tuesday, atribuindo-lhe o CVE-2026-33825. No entanto, a exploração em ambientes reais já havia sido detectada pela Huntress em 10 de abril, apenas quatro dias antes da liberação do patch. A publicação do PoC (Proof of Concept) foi uma resposta direta do pesquisador, que alegou ter reportado a falha à Microsoft previamente, mas o processo de correção foi dificultado pela exigência de uma demonstração em vídeo por parte da Microsoft, que o pesquisador recusou.
Em 12 de abril, um segundo PoC, chamado UnDefend, foi adicionado ao mesmo repositório. Diferentemente do BlueHammer, o UnDefend não é um exploit LPE, mas sim um ataque de Negação de Serviço (DoS) direcionado ao próprio Defender, com a capacidade de impedir suas atualizações de assinatura e reportar um status operacional normal. Posteriormente, em 16 de abril, surgiu o terceiro exploit, RedSun. Este também é um exploit LPE que concede acesso SYSTEM, mas utiliza um mecanismo diferente do Defender e funciona mesmo em sistemas totalmente atualizados com o patch de abril. O RedSun não possui um CVE atribuído e, crucialmente, ainda não tem correção. A exploração do RedSun envolve o uso de atributos de arquivos na nuvem (Cloud Files), onde o Defender, ao detectar um arquivo malicioso com essa marcação, tenta restaurá-lo em vez de removê-lo. A falha reside na ausência de verificação de caminho durante essa operação de restauração, permitindo que um junction point do NTFS seja manipulado para redirecionar a escrita para C:\Windows\System32, substituindo um binário legítimo como TieringEngineService.exe por código malicioso.
A gravidade da situação é amplificada pelo fato de que os três exploits, lançados em um curto intervalo de tempo pelo mesmo autor, cobrem etapas cruciais para atividades pós-exploração. O BlueHammer e o RedSun fornecem o acesso inicial elevado ao nível SYSTEM, enquanto o UnDefend permite a ocultação e o aprofundamento do comprometimento ao desabilitar as atualizações do Defender. Um cenário reconstruído pela Huntress descreve atacantes que obtêm acesso inicial via credenciais VPN SSL comprometidas, implantam o RedSun e o UnDefend em pastas de usuário, elevam privilégios com o RedSun, desabilitam as atualizações do Defender com o UnDefend e, em seguida, procedem com ações como dump de LSASS, exclusão de cópias de sombra e movimentação lateral pela rede. A ironia é que, em ambos os exploits LPE, o atacante não contorna o Defender, mas o utiliza como um gravador privilegiado no diretório System32. A falta de correção para RedSun e UnDefend, com o próximo Patch Tuesday previsto apenas para maio, deixa uma janela de vulnerabilidade de várias semanas.
Nas primeiras duas semanas de abril de 2026, um pesquisador de segurança anônimo chocou a comunidade ao divulgar publicamente três exploits funcionais contra o Microsoft Defender. Todos os três exploits permitem que um usuário comum, sem privilégios administrativos, obtenha acesso ao nível SYSTEM. O mais alarmante é que, no momento da publicação deste artigo, dois desses exploits ainda não possuem correção (patch), e a empresa Huntress já identificou sua exploração em ataques reais. Em dois dos casos, o antivírus não é apenas contornado, mas utilizado ativamente como um vetor de entrega de malware. O próprio Defender, com seus privilégios SYSTEM, é instruído a escrever um arquivo malicioso diretamente em C:\Windows\System32.
O primeiro exploit, batizado de BlueHammer, foi divulgado em 3 de abril no GitHub. Este exploit de elevação de privilégios (LPE) permite que um usuário comum alcance o nível SYSTEM explorando o mecanismo de remediação do Defender. A Microsoft corrigiu essa vulnerabilidade em 14 de abril, como parte do Patch Tuesday, atribuindo-lhe o CVE-2026-33825. No entanto, a exploração em ambientes reais já havia sido detectada pela Huntress em 10 de abril, apenas quatro dias antes da liberação do patch. A publicação do PoC (Proof of Concept) foi uma resposta direta do pesquisador, que alegou ter reportado a falha à Microsoft previamente, mas o processo de correção foi dificultado pela exigência de uma demonstração em vídeo por parte da Microsoft, que o pesquisador recusou.
Em 12 de abril, um segundo PoC, chamado UnDefend, foi adicionado ao mesmo repositório. Diferentemente do BlueHammer, o UnDefend não é um exploit LPE, mas sim um ataque de Negação de Serviço (DoS) direcionado ao próprio Defender, com a capacidade de impedir suas atualizações de assinatura e reportar um status operacional normal. Posteriormente, em 16 de abril, surgiu o terceiro exploit, RedSun. Este também é um exploit LPE que concede acesso SYSTEM, mas utiliza um mecanismo diferente do Defender e funciona mesmo em sistemas totalmente atualizados com o patch de abril. O RedSun não possui um CVE atribuído e, crucialmente, ainda não tem correção. A exploração do RedSun envolve o uso de atributos de arquivos na nuvem (Cloud Files), onde o Defender, ao detectar um arquivo malicioso com essa marcação, tenta restaurá-lo em vez de removê-lo. A falha reside na ausência de verificação de caminho durante essa operação de restauração, permitindo que um junction point do NTFS seja manipulado para redirecionar a escrita para C:\Windows\System32, substituindo um binário legítimo como TieringEngineService.exe por código malicioso.
A gravidade da situação é amplificada pelo fato de que os três exploits, lançados em um curto intervalo de tempo pelo mesmo autor, cobrem etapas cruciais para atividades pós-exploração. O BlueHammer e o RedSun fornecem o acesso inicial elevado ao nível SYSTEM, enquanto o UnDefend permite a ocultação e o aprofundamento do comprometimento ao desabilitar as atualizações do Defender. Um cenário reconstruído pela Huntress descreve atacantes que obtêm acesso inicial via credenciais VPN SSL comprometidas, implantam o RedSun e o UnDefend em pastas de usuário, elevam privilégios com o RedSun, desabilitam as atualizações do Defender com o UnDefend e, em seguida, procedem com ações como dump de LSASS, exclusão de cópias de sombra e movimentação lateral pela rede. A ironia é que, em ambos os exploits LPE, o atacante não contorna o Defender, mas o utiliza como um gravador privilegiado no diretório System32. A falta de correção para RedSun e UnDefend, com o próximo Patch Tuesday previsto apenas para maio, deixa uma janela de vulnerabilidade de várias semanas.
