Seis zero-days do Windows sem coordenação com vendor

Seis zero-days sem patch divulgados

Um pesquisador de segurança que usa os pseudônimos Chaotic Eclipse e Nightmare-Eclipse divulgou publicamente seis vulnerabilidades zero-day em componentes do Windows nas últimas semanas, incluindo falhas no Defender, BitLocker e mecanismos de escalonamento de privilégio. O mais preocupante: três dessas falhas já estão sendo exploradas ativamente por criminosos. As vulnerabilidades receberam os nomes de BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma.

Três falhas já em exploração ativa

BlueHammer, RedSun e UnDefend já foram confirmadas como exploradas na natureza. O BlueHammer afeta o processo de atualização do Microsoft Defender, permitindo escalonamento de privilégios. O MiniPlasma permite que um usuário padrão obtenha acesso SYSTEM no Windows 11 totalmente atualizado — sem patch disponível. A gravidade é alta porque as falhas permitem que um invasor com acesso limitado escale para controle total do sistema.

• BlueHammer (CVE-2026-33825) — Explora o processo de atualização do Defender para escalar privilégios
• RedSun (CVE-2026-41091) — Exploração ativa confirmada, detalhes técnicos públicos
• UnDefend (CVE-2026-45498) — Exploração ativa confirmada, afeta componentes do Windows
• MiniPlasma — Eleva usuário padrão a SYSTEM em Windows 11 sem patch disponível

Conflito entre pesquisador e Microsoft

A divulgação não foi coordenada com a Microsoft. O pesquisador alega que tentou comunicar as vulnerabilidades pela via oficial, mas que a empresa se recusou a dialogar, chegando a deletar a conta Microsoft que ele usava para reportar bugs. Em resposta, a Microsoft publicou um comunicado criticando a divulgação não coordenada e afirmando que suas equipes trabalham “24 horas por dia” para proteger clientes. GitHub removeu a conta do pesquisador, e uma tentativa de repositório no GitLab também foi bloqueada. O pesquisador prometeu liberar algo novo em 14 de julho de 2026.

O que fazer agora

• Aplique imediatamente todas as atualizações de segurança do Windows — a Microsoft está liberando patches de emergência para as falhas divulgadas
• Monitore logs de escalonamento de privilégio incomum, especialmente em servidores e estações com acesso administrativo
• Restrinja execuções não autorizadas com soluções de application whitelisting (como AppLocker ou ferramentas de terceiros)
• No Brasil, empresas sujeitas à LGPD devem avaliar se a exposição dessas falhas configura incidente notificável à ANPD quando envolve dados pessoais
• Para equipes de TI: inscreva-se no MSRC Security Update Guide para alertas imediatos sobre patches dessas CVEs

Fontes

• The Hacker News – Microsoft Slams Public Zero-Day Disclosures
• ThreatLocker – MiniPlasma: Windows privilege escalation zero-day
• Cyderes – BlueHammer: Inside the Windows Zero-Day