A empresa de segurança Huntress alertou que atacantes estão explorando ativamente três vulnerabilidades recém-divulgadas no Microsoft Defender para obter privilégios elevados em sistemas comprometidos.
As três falhas de segurança — identificadas pelos codinomes BlueHammer, RedSun e UnDefend — foram descobertas e divulgadas como vulnerabilidades zero-day por um pesquisador conhecido como Chaotic Eclipse. O termo zero-day refere-se a vulnerabilidades que são exploradas antes mesmo de o fabricante ter conhecimento ou disponibilizar uma correção.
Cenário de exploração
As vulnerabilidades afetam o Microsoft Defender, a solução antivírus e de proteção contra ameaças integrada ao Windows. Quando exploradas com sucesso, as falhas permitem que um atacante com acesso inicial limitado ao sistema obtenha privilégios administrativos completos — um processo conhecido como escalonamento de privilégios.
A Huntress não detalhou os mecanismos técnicos específicos de cada vulnerabilidade ou indicadores de comprometimento associados às explorações detectadas. A empresa também não especificou quais das três vulnerabilidades permanecem sem correção.
Recomendações de mitigação
Enquanto a Microsoft trabalha em correções definitivas, organizações devem reforçar o monitoramento de atividades suspeitas relacionadas ao Microsoft Defender, implementar o princípio de menor privilégio para contas de usuário e manter sistemas de detecção e resposta atualizados para identificar tentativas de escalonamento de privilégios.