A exploração ativa de vulnerabilidades no Microsoft Defender acendeu um novo alerta para empresas e equipes de segurança. A Huntress informou que invasores estão abusando de três falhas recentemente divulgadas no antivírus da Microsoft para ampliar privilégios dentro de sistemas já comprometidos, o que pode facilitar movimentos posteriores na rede e dificultar a resposta ao incidente. As brechas receberam os codinomes BlueHammer, RedSun e UnDefend.

Segundo a empresa, os três problemas foram tornados públicos como zero-day por um pesquisador conhecido como Chaotic Eclipse, também chamado de Nightmare-Eclipse, em meio a críticas sobre a forma como a Microsoft conduziu o processo de divulgação das vulnerabilidades. Duas dessas falhas, BlueHammer e RedSun, permitem elevação local de privilégios (LPE), enquanto a terceira, UnDefend, pode ser usada para provocar uma condição de negação de serviço (DoS) e bloquear atualizações de definições do Defender, comprometendo diretamente a capacidade da ferramenta de reconhecer ameaças mais recentes.

Na prática, o cenário é especialmente preocupante porque essas falhas não representam necessariamente a porta de entrada inicial do ataque, mas funcionam como aceleradores de pós-exploração. Isso significa que, uma vez dentro do ambiente, o invasor pode usar essas vulnerabilidades para obter mais permissões, desativar camadas de proteção e ampliar o controle sobre a máquina afetada. Em ataques modernos, esse tipo de recurso costuma ser decisivo para transformar uma intrusão limitada em um incidente muito mais grave, com potencial para roubo de dados, sabotagem de sistemas ou avanço lateral para outros ativos da rede.

Entre as três falhas, apenas a BlueHammer recebeu correção até agora. A Microsoft incluiu o ajuste no Patch Tuesday liberado nesta semana, e a vulnerabilidade passou a ser rastreada como CVE-2026-33825. Já RedSun e UnDefend continuam sem patch disponível no momento, o que amplia a janela de risco para organizações que dependem do Defender como um dos pilares de sua proteção de endpoint.

De acordo com a Huntress, a exploração da BlueHammer em ataques reais foi observada desde 10 de abril de 2026. Poucos dias depois, em 16 de abril, também houve uso dos códigos de prova de conceito das falhas RedSun e UnDefend. Esse intervalo curto entre a divulgação técnica e a adoção em atividades maliciosas mostra como a operacionalização de falhas de segurança está cada vez mais rápida. Hoje, quando uma vulnerabilidade relevante se torna pública, o tempo para reação das empresas pode ser de horas, não mais de semanas.

Outro ponto importante é o contexto operacional observado pela Huntress durante os ataques. Antes da exploração, os invasores executaram comandos típicos de reconhecimento e validação de privilégios, como whoami /priv, cmdkey /list e net group. Esse tipo de sequência é bastante associado à atividade hands-on-keyboard, quando há atuação manual do hacker dentro do ambiente, em vez de uma ação totalmente automatizada. Em outras palavras, não se trata apenas de um exploit disparado de forma cega, mas de uma operação conduzida com objetivo claro de ampliar o acesso e preparar o terreno para novas etapas do ataque.

Esse detalhe aumenta ainda mais a gravidade do caso. Quando uma falha de elevação de privilégio é combinada com presença interativa do invasor, o risco passa a incluir persistência, evasão de controles, desativação de proteções e até preparação para ransomware ou exfiltração de informações. No caso da UnDefend, a possibilidade de bloquear atualizações de assinaturas também é estratégica: ao impedir que o Defender receba definições novas, o atacante enfraquece a capacidade de detecção da ferramenta e cria uma janela adicional para operar com menor chance de ser identificado.

A Huntress informou que tomou medidas para isolar a organização afetada e impedir avanços adicionais no pós-comprometimento. Ainda assim, o episódio reforça uma tendência cada vez mais visível no ecossistema de ameaças: ferramentas nativas de segurança também passaram a ser alvo frequente de exploração, seja para desativação, evasão, corrupção de mecanismos internos ou abuso de permissões elevadas. Em vez de atacar apenas aplicações expostas ou serviços de borda, muitos hackers vêm buscando enfraquecer diretamente os controles defensivos que deveriam barrá-los.

Para as empresas, o caso reforça a necessidade de ir além do simples modelo de “instalar antivírus e manter atualizado”. Em cenários como esse, a proteção real depende de uma combinação de fatores: gestão rápida de patches, monitoração de comportamento suspeito, restrição de privilégios locais, detecção de comandos administrativos fora do padrão, isolamento ágil de endpoints e capacidade de resposta a incidentes. Quando existem falhas sem correção disponível, a mitigação passa a depender ainda mais de visibilidade, hardening e monitoração contínua.

Enquanto a Microsoft corrige apenas uma parte do problema, o mercado observa com atenção o risco residual deixado pelas outras duas vulnerabilidades ainda abertas. O episódio mostra que, mesmo em soluções amplamente adotadas e consideradas centrais na defesa corporativa, falhas críticas podem virar armas em pouco tempo — especialmente quando envolvem elevação de privilégio e impacto direto sobre a própria operação da proteção.