**Huntress** relatou exploração ativa de três vulnerabilidades de segurança no Microsoft Defender, potencialmente levando a privilégios elevados em sistemas comprometidos. As vulnerabilidades, conhecidas como **BlueHammer**, **RedSun** e **UnDefend**, foram inicialmente divulgadas como zero-days por um pesquisador, Chaotic Eclipse (também conhecido como Nightmare-Eclipse), devido a preocupações com o manejo da divulgação de vulnerabilidades pela Microsoft. ### Detalhes da Vulnerabilidade * **BlueHammer**: Uma falha de escalonamento local de privilégios (LPE) no Microsoft Defender. * **RedSun**: Outra vulnerabilidade LPE afetando o Microsoft Defender. * **UnDefend**: Pode desencadear uma condição de negação de serviço (DoS), impedindo atualizações de definições. ### Status de Patch e Informações CVE A **Microsoft** corrigiu o BlueHammer como parte de suas atualizações do Patch Tuesday. A vulnerabilidade é rastreada como **CVE-2026-33825**. No momento desta escrita, RedSun e UnDefend permanecem sem correção. ### Exploração "In-the-Wild" Huntress observou exploração ativa de todas as três vulnerabilidades. O BlueHammer teria sido armado a partir de 10 de abril de 2026, com exploits de prova de conceito (PoC) para RedSun e UnDefend aparecendo em 16 de abril. De acordo com Huntress, as tentativas de exploração foram precedidas por comandos de reconhecimento, indicando atividade "hands-on-keyboard" por atores de ameaças. > "Essas invocações ocorreram após comandos típicos de enumeração: whoami /priv, cmdkey /list, net group, e outros que indicam atividade de ator de ameaça hands-on-keyboard", afirmou Huntress. ### Medidas de Mitigação Huntress tomou medidas para isolar a organização afetada para prevenir atividades adicionais de pós-exploração. ### Resposta da Microsoft A Microsoft confirmou que o exploit BlueHammer foi abordado via CVE-2026-33825. > "A Microsoft tem um compromisso com o cliente de investigar problemas de segurança relatados e atualizar os dispositivos impactados para proteger os clientes o mais rápido possível", disse um porta-voz da Microsoft. "Também apoiamos a divulgação coordenada de vulnerabilidades, uma prática amplamente adotada pela indústria que ajuda a garantir que os problemas sejam cuidadosamente investigados e abordados antes da divulgação pública, apoiando tanto a proteção do cliente quanto a comunidade de pesquisa de segurança."