AIO APEX
Security

Zero-days do Windows já estão sendo exploradas em ataques reais

BleepingComputer
Compartilhar:
Zero-days do Windows já estão sendo exploradas em ataques reais

Três falhas de segurança do Windows divulgadas recentemente já saíram do estágio de prova de conceito e chegaram a ataques reais, segundo novas descobertas da Huntress. Isso importa porque dois dos problemas ainda não têm correção completa da Microsoft, enquanto o terceiro acabou de ser resolvido nas atualizações de abril.

O que os invasores estão usando

A atividade gira em torno de três técnicas de exploração publicadas por um pesquisador que criticou publicamente o processo de divulgação da Microsoft. Duas delas atingem o Microsoft Defender para obter elevação local de privilégios, e a terceira pode bloquear atualizações de definições do Defender a partir de uma conta de usuário comum.

A Huntress diz que já viu as três técnicas em uso no mundo real. Em uma invasão observada, os exploits apareceram junto com atividade manual do atacante depois do comprometimento de uma conta de SSL VPN.

Por que isso é importante

O ponto principal não é apenas o fato de o código estar público, mas sim que os invasores já estão operacionalizando essas técnicas. Uma das falhas, rastreada como CVE-2026-33825 e apelidada de BlueHammer, já foi corrigida. As outras duas, conhecidas como RedSun e UnDefend, continuam sem solução completa.

Isso deixa os defensores em uma situação desconfortável. Mesmo organizações que aplicam rapidamente o Patch Tuesday podem continuar expostas se os invasores encadearem essas técnicas após o acesso inicial, especialmente em sistemas onde o Microsoft Defender está habilitado por padrão.

O que os administradores devem fazer agora

As equipes de segurança devem tratar isso como um risco ativo de elevação de privilégios, e não como um exercício teórico. As prioridades incluem revisar alertas recentes nos endpoints, endurecer pontos de entrada remota como contas de VPN e monitorar sinais de adulteração do Defender ou elevação inesperada para SYSTEM.

Até que a Microsoft publique correções para os problemas restantes, visibilidade e contenção passam a valer ainda mais. Para administradores de Windows, este é um daqueles momentos em que reforçar identidade e monitoramento de endpoints pode separar um incidente contido de um comprometimento muito mais profundo.

cybersecuritywindowszero-daymicrosoft-defenderprivilege-escalation

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartilhar: