O Microsoft Defender Antivirus foi desenhado para actuar como a primeira linha de defesa em milhões de sistemas Windows, com o objectivo de proteger os computadores contra software malicioso e outras ameaças. No entanto, de acordo com informações divulgadas recentemente, a ferramenta de segurança nativa da Microsoft pode não ser tão eficaz a executar tarefas de protecção como o pretendido. Pior ainda, piratas informáticos já estão a explorar activamente três vulnerabilidades distintas para obter privilégios elevados em máquinas comprometidas.
A notícia, avançada pela publicação The Hacker News, indica que a empresa de cibersegurança Huntress detectou actividade maliciosa a tirar partido de três falhas conhecidas pelos nomes de código BlueHammer, RedSun e UnDefend. Estas vulnerabilidades foram publicadas como falhas de dia zero por um investigador de segurança conhecido como Chaotic Eclipse, também identificado como Nightmare-Eclipse. A decisão de tornar o código de prova de conceito público surgiu como resposta directa à forma como a Microsoft lidou com o processo de divulgação dos problemas.
As três ameaças ao detalhe
As vulnerabilidades apresentam características diferentes, mas todas colocam os sistemas em risco. O BlueHammer e o RedSun são falhas de escalonamento local de privilégios, o que significa que permitem a um atacante obter controlo mais profundo sobre o sistema operativo. Por outro lado, o UnDefend pode ser usado para desencadear uma condição de negação de serviço, o que bloqueia efectivamente as actualizações de definições do antivírus, a deixar a máquina exposta a novas ameaças.
A falha RedSun tem origem num comportamento invulgar do Defender ao processar ficheiros potencialmente maliciosos marcados com uma etiqueta de nuvem. Segundo o investigador, o antivírus pode, sob determinadas condições, restaurar ou reescrever esses ficheiros para a sua localização original no disco. A prova de conceito demonstra como este comportamento pode ser abusado para substituir ficheiros de sistema e, consequentemente, elevar privilégios.
Chaotic Eclipse descobriu o RedSun enquanto analisava a correcção para o BlueHammer, lançada pela Microsoft na actualização Patch Tuesday no início desta semana. A vulnerabilidade BlueHammer é agora rastreada sob o identificador CVE-2026-33825. Contudo, até ao momento, as falhas RedSun e UnDefend continuam sem qualquer correcção oficial disponível.
Exploração activa no mundo real
A Huntress alerta que os ataques não são apenas teóricos. Numa série de publicações na rede social X, a empresa de segurança confirmou ter observado as três falhas a ser exploradas em ambientes reais. O BlueHammer começou a ser utilizado como arma no dia 10 de Abril de 2026. Poucos dias depois, a 16 de Abril, os atacantes começaram a usar os códigos de prova de conceito do RedSun e do UnDefend.
De acordo com os especialistas, estas invocações ocorreram após comandos típicos de enumeração, que indicam actividade manual por parte dos atacantes nos teclados. A Huntress tomou medidas imediatas para isolar as organizações afectadas, com o intuito de prevenir a continuação da exploração dos sistemas.
Tensão entre investigadores e a Microsoft
O caso ganha contornos mais polémicos devido à relação conturbada entre o investigador e o Microsoft Security Response Center (MSRC). No início deste mês, Chaotic Eclipse divulgou o BlueHammer após o MSRC se mostrar indisponível para classificar a falha como um problema de segurança significativo. Esta atitude levou o investigador a publicar o código para forçar uma reacção.
Numa publicação mais recente sobre o RedSun, o investigador afirmou que a sua relação com a equipa do MSRC se deteriorou drasticamente. Chaotic Eclipse alega que os programadores da Microsoft o estão a visar de forma activa, a envolver-se em comportamentos que descreve como infantis para o tentar descredibilizar. O investigador questionou mesmo se estava a lidar com uma grande empresa ou com alguém a divertir-se a vê-lo sofrer, a concluir que parece tratar-se de uma decisão colectiva da equipa.
Esta postura da gigante tecnológica não é um caso isolado. No passado, outros especialistas já expressaram frustração com a forma como a empresa ignora certos alertas, uma situação que faz lembrar o caso em que o protocolo de ambiente de trabalho remoto do Windows manteve uma backdoor que a marca se recusou a fechar. Chaotic Eclipse acusa o pessoal de segurança da Microsoft de prejudicar partes da comunidade de investigação, em vez de apoiar os especialistas independentes que tentam reportar vulnerabilidades de forma ética.
A resposta oficial e alternativas
Confrontada com a situação, a Microsoft confirmou que a exploração do BlueHammer foi resolvida através da actualização CVE-2026-33825. Um porta-voz da empresa declarou que existe um compromisso para investigar problemas de segurança reportados e actualizar os dispositivos afectados para proteger os clientes o mais rapidamente possível. A empresa defendeu ainda a prática de divulgação coordenada de vulnerabilidades, a argumentar que esta ajuda a garantir que os problemas são cuidadosamente investigados antes de se tornarem públicos.
Apesar das declarações oficiais, o debate continua aceso na comunidade de segurança. Alguns investigadores argumentam que os utilizadores devem confiar em soluções antivírus de terceiros em vez do Microsoft Defender. O próprio Chaotic Eclipse mencionou uma preferência pelo Bitdefender Antivirus Free, a descrever a solução como um produto de segurança leve, de origem europeia e construído sobre um motor antimalware amplamente utilizado.
Enquanto a Microsoft não disponibiliza correcções para o RedSun e para o UnDefend, os administradores de sistemas devem manter-se em alerta máximo e monitorizar as suas redes em busca de actividades suspeitas.
