A **CISA** deu às agências do governo dos EUA duas semanas para proteger seus sistemas **Windows** contra uma vulnerabilidade de escalonamento de privilégios no **Microsoft Defender** que tem sido explorada em ataques zero-day. Rastreada como **CVE-2026-33825**, essa falha de segurança de alta gravidade permite que atores de ameaça locais com baixos privilégios obtenham permissões SYSTEM em dispositivos não corrigidos, explorando uma granularidade insuficiente em uma fraqueza de controle de acesso. A **Microsoft** corrigiu a vulnerabilidade em 14 de abril como parte do Patch Tuesday deste mês, uma semana após um pesquisador de segurança com o pseudônimo "Chaotic Eclipse" apelidá-la de "BlueHammer" e publicar código de prova de conceito (exploit) em protesto à forma como o Security Response Center (MSRC) da **Microsoft** lidou com o processo de divulgação. Chaotic Eclipse também divulgou uma segunda falha de escalonamento de privilégios no **Microsoft Defender** (apelidada de RedSun) e uma terceira falha (conhecida como UnDefend) que pode ser explorada como um usuário padrão para bloquear atualizações de definição do Defender. No momento do vazamento, todas as três vulnerabilidades eram consideradas zero-days pela definição da **Microsoft**, pois não possuíam patches oficiais. Adicionalmente, como pesquisadores de segurança da **Huntress Labs** revelaram em 16 de abril, atacantes também estavam explorando esses zero-days em ataques que mostravam evidências de "atividade de ator de ameaça hands-on-keyboard". "A atividade também parecia fazer parte de uma intrusão mais ampla, em vez de testes isolados de prova de conceito (PoC)", disse a empresa de cibersegurança em um relatório de segunda-feira. "A **Huntress** identificou acesso suspeito ao SSL VPN da **FortiGate** ligado ao ambiente comprometido, incluindo um IP de origem geolocalizado na Rússia, com infraestrutura suspeita adicional observada em outras regiões." A **CISA** adicionou a vulnerabilidade BlueHammer ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) na segunda-feira, ordenando que as agências do Ramo Executivo Civil Federal (FCEB) corrijam seus sistemas **Windows** contra os ataques em andamento da CVE-2026-33825 em até duas semanas, até 7 de maio. "Este tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para a empresa federal", alertou a **CISA**. "Aplique mitigações de acordo com as instruções do fornecedor, siga a orientação aplicável da BOD 22-01 para serviços em nuvem ou descontinue o uso do produto se as mitigações não estiverem disponíveis." Há uma semana, a **CISA** também alertou que uma vulnerabilidade de escalonamento de privilégios no **Windows** Task Host (**CVE-2025-60710**), que concede aos atacantes privilégios SYSTEM em dispositivos **Windows 11** e **Windows Server 2025** não corrigidos, também está sendo ativamente explorada na natureza.