### RedSun: Um Novo 0-day no Defender O exploit, apelidado de "RedSun", afeta sistemas **Windows 10**, **Windows 11** e **Windows Server**, mesmo com as atualizações mais recentes do Patch Tuesday de abril instaladas. Ele explora uma falha onde o **Windows Defender**, ao identificar um arquivo com uma tag de nuvem, reescreve o arquivo para seu local original, independentemente de sua potencial malícia. "Quando o Windows Defender percebe que um arquivo malicioso tem uma tag de nuvem, por qualquer motivo estúpido e hilário, o antivírus que deveria proteger decide que é uma boa ideia simplesmente reescrever o arquivo encontrado novamente para seu local original", [explica o pesquisador](https://github.com/Nightmare-Eclipse/RedSun). A prova de conceito (PoC) abusa desse comportamento para sobrescrever arquivos do sistema, levando, em última instância, a privilégios administrativos. ### Exploit Confirmado Will Dormann, analista principal de vulnerabilidades na Tharros, verificou a funcionalidade do exploit. Ele concede com sucesso privilégios SYSTEM em sistemas **Windows 10**, **Windows 11** e **Windows Server 2019** e posteriores totalmente corrigidos. "Este Exploit usa a 'Cloud Files API', escreve EICAR em um arquivo usando-a, usa um oplock para vencer uma corrida de cópia de sombra de volume e usa uma junção de diretório/ponto de reanálise para redirecionar a reescrita do arquivo (com novos conteúdos) para C:\Windows\system32\TieringEngineService.exe", explicou Dormann em um [thread no Mastodon](https://infosec.exchange/@wdormann/116412019416916182). "Neste ponto, a Infraestrutura de Arquivos em Nuvem executa o TieringEngineService.exe plantado pelo atacante (que é o próprio exploit RedSun.exe) como SYSTEM. Jogo encerrado."  *Exploit RedSun concedendo privilégios SYSTEM em um Windows 11 totalmente corrigido. Fonte: Dormann* Alguns fornecedores de antivírus no **VirusTotal** estão detectando o exploit porque o executável contém um EICAR embutido (arquivo de teste de antivírus). No entanto, o pesquisador reduziu as detecções criptografando a string EICAR dentro do executável. Uma [análise técnica](https://nefariousplan.com/posts/redsun-windows-defender-system-write/) mais detalhada sobre esta vulnerabilidade foi compartilhada pelo pesquisador de segurança Kevlar. ### Ecos de BlueHammer Este lançamento segue a publicação anterior do pesquisador de um exploit para outro 0-day LPE do **Microsoft Defender**, apelidado de "BlueHammer", agora rastreado como **CVE-2026-33825**. A **Microsoft** corrigiu essa falha nas recentes atualizações do Patch Tuesday. ### Protesto do Pesquisador O pesquisador afirma que a liberação desses PoCs 0-day é uma forma de protesto contra o tratamento da **Microsoft** a pesquisadores de cibersegurança e divulgações de vulnerabilidades ao **Microsoft Security Response Center (MSRC)**. "Normalmente, eu passaria pelo processo de implorar para que eles corrigissem um bug, mas para resumir, fui informado pessoalmente por eles que arruinariam minha vida e o fizeram, e não tenho certeza se fui o único a ter essa experiência horrível ou se poucas pessoas tiveram, mas acho que a maioria simplesmente engoliria e cortaria as perdas, mas para mim, eles tiraram tudo", [alegou o pesquisador](https://deadeclipse666.blogspot.com/2026/04/public-disclosure-response-for-cve-2026.html). ### Resposta da Microsoft Quando contatada sobre essas supostas questões, a **Microsoft** forneceu a seguinte declaração: "A Microsoft tem um compromisso com o cliente de investigar problemas de segurança relatados e atualizar os dispositivos afetados para proteger os clientes o mais rápido possível", disse um porta-voz da **Microsoft** ao BleepingComputer. "Também apoiamos a divulgação coordenada de vulnerabilidades, uma prática amplamente adotada na indústria que ajuda a garantir que os problemas sejam cuidadosamente investigados e abordados antes da divulgação pública, apoiando tanto a proteção do cliente quanto a comunidade de pesquisa de segurança."