Atores de ameaça estão explorando ativamente três vulnerabilidades de segurança recém-divulgadas no **Windows** em ataques que visam obter permissões de SYSTEM ou de administrador elevadas. Desde o início do mês, um pesquisador de segurança conhecido como "Chaotic Eclipse" ou "Nightmare-Eclipse" publicou código de prova de conceito de exploit para as três questões de segurança em protesto contra a forma como o Centro de Resposta de Segurança da **Microsoft** (**MSRC**) lidou com o processo de divulgação. Duas das vulnerabilidades (apelidadas [BlueHammer](https://www.bleepingcomputer.com/news/security/disgruntled-researcher-leaks-bluehammer-windows-zero-day-exploit/) e [RedSun](https://www.bleepingcomputer.com/news/microsoft/new-microsoft-defender-redsun-zero-day-poc-grants-system-privileges/)) são falhas de escalação de privilégios local (LPE) do **Microsoft Defender**, enquanto a terceira (conhecida como [UnDefend](https://github.com/Nightmare-Eclipse/UnDefend)) pode ser explorada como um usuário padrão para bloquear atualizações de definição do **Microsoft Defender**. No momento do vazamento, as falhas de segurança que esses exploits visavam eram consideradas zero-days pela definição da **Microsoft**, pois não havia patches ou atualizações oficiais para resolvê-las. Na quinta-feira, pesquisadores de segurança da **Huntress Labs** relataram ter visto os três exploits zero-day sendo implantados em campo, com a vulnerabilidade BlueHammer sendo explorada desde 10 de abril. Eles também observaram ataques em um dispositivo **Windows** que foi comprometido usando um usuário SSLVPN comprometido, mostrando evidências de "atividade de ator de ameaça com acesso direto ao teclado". "O **Huntress SOC** está observando o uso das técnicas de exploração BlueHammer, RedSun e UnDefend de Nightmare-Eclipse", disseram os pesquisadores. ## Dois zero-days ainda aguardando um patch Embora a **Microsoft** esteja agora rastreando a vulnerabilidade BlueHammer como **CVE-2026-33825** e a tenha corrigido nas atualizações de segurança de abril de 2026, as outras duas falhas permanecem sem solução. Conforme relatado anteriormente, os atacantes podem usar o exploit RedSun para obter privilégios de SYSTEM em sistemas Windows 10, Windows 11 e Windows Server 2019 e posteriores quando o Windows Defender estiver habilitado, mesmo após a aplicação dos patches de terça-feira de abril. "Quando o Windows Defender percebe que um arquivo malicioso tem uma tag de nuvem, por qualquer motivo estúpido e hilário, o antivírus que deveria proteger decide que é uma boa ideia simplesmente reescrever o arquivo encontrado de volta para sua localização original", explicou o pesquisador. "O PoC abusa desse comportamento para sobrescrever arquivos do sistema e obter privilégios administrativos." "A Microsoft tem um compromisso com o cliente de investigar problemas de segurança relatados e atualizar os dispositivos afetados para proteger os clientes o mais rápido possível", disse um porta-voz da **Microsoft** ao BleepingComputer no início desta semana, quando contatado para mais informações sobre os problemas de divulgação relatados pelo pesquisador anônimo. "Também apoiamos a divulgação coordenada de vulnerabilidades, uma prática amplamente adotada na indústria que ajuda a garantir que os problemas sejam cuidadosamente investigados e resolvidos antes da divulgação pública, apoiando tanto a proteção do cliente quanto a comunidade de pesquisa de segurança."