A agência de cibersegurança dos Estados Unidos, CISA, confirmou nesta segunda-feira (30 de junho de 2026) que grupos de ransomware passaram a explorar ativamente o BlueHammer, falha de escalonamento de privilégios no Microsoft Defender rastreada como CVE-2026-33825. A vulnerabilidade permite que um atacante local, mesmo sem privilégios administrativos, assuma o controle total (NT AUTHORITY\SYSTEM) de máquinas Windows expostas, transformando qualquer ponto de apoio inicial em comprometimento completo.
O BlueHammer foi vazado em 3 de abril de 2026 pelo pesquisador que se identifica como “Nightmare Eclipse”, que publicou um exploit completo no GitHub como protesto contra o modelo de divulgação coordenada da Microsoft. O código não exigia bug de kernel, corrupção de memória ou execução dentro do Defender — apenas o encadeamento correto de quatro mecanismos legítimos do Windows.
Como o exploit funciona
A engenhosidade do BlueHammer está em usar recursos legítimos do Windows contra o próprio sistema. A cadeia combina quatro peças que, isoladas, são inofensivas: o fluxo de atualização do Microsoft Defender, o Volume Shadow Copy Service (VSS), a API Cloud Files e bloqueios oportunísticos (oplocks). Cada componente funciona exatamente como documentado pela Microsoft — a vulnerabilidade só emerge quando são encadeados na ordem certa.
Durante certos fluxos de atualização e remediação, o Defender cria temporariamente um snapshot VSS, uma porta dos fundos privilegiada para o sistema de arquivos. O atacante usa callbacks da API Cloud Files e oplocks para pausar o Defender no instante exato, deixando o snapshot montado e os hives do registro SAM, SYSTEM e SECURITY acessíveis — arquivos normalmente travados em tempo de execução. Com a leitura do banco SAM, o atacante descriptografa hashes NTLM, assume a conta de administrador local e abre um shell no nível SYSTEM, restaurando o hash original para não deixar rastros. A tabela abaixo resume as peças encadeadas:
| Componente legítimo | Função original | Papel no exploit |
|---|---|---|
| Volume Shadow Copy (VSS) | Backup e restauração | Snapshot montado expõe SAM/SYSTEM/SECURITY |
| API Cloud Files | Sincronização de arquivos | Callback pausa o Defender no instante certo |
| Oplocks (bloqueios) | Coordenação de acesso | Mantém o Defender bloqueado durante a leitura |
| Fluxo de update do Defender | Atualização de assinaturas | Dispara a criação do snapshot VSS |
Linha do tempo da exploração
- 3 de abril de 2026 — Pesquisador “Nightmare Eclipse” publica exploit completo no GitHub, sem CVE e sem patch.
- 7 de abril de 2026 — Cyderes (Howler Cell) e Will Dormann, da Tharros, confirmam a funcionalidade em Windows 10 e 11 atualizados.
- 14 de abril de 2026 — Microsoft lança correção no Patch Tuesday de abril de 2026.
- 22 de abril de 2026 — CISA adiciona a CVE-2026-33825 ao catálogo KEV, com prazo de correção até 7 de maio.
- Finais de abril de 2026 — Huntress Labs documenta uso como zero-day, com atividade de ator hands-on-keyboard.
- 30 de junho de 2026 — CISA atualiza o KEV sinalizando exploração ativa por grupos de ransomware.
Por que ransomware adotou a falha
Para grupos de ransomware, escalonamento local de privilégios é commodity tática. Com acesso SYSTEM em mãos, eles desativam proteções de endpoint, criam contas de persistência, movimentam-se lateralmente via WMIC, PsExec e RDP, e preparam o terreno para a execução do payload de cifragem. A CISA destacou que este tipo de vulnerabilidade é vetor frequente de atores maliciosos e representa risco significativo para o ambiente corporativo.
O caso BlueHammer se soma a uma série recente de zero-days vazados pelo mesmo pesquisador — RoguePlanet, RedSun, GreenPlasma, MiniPlasma, YellowKey e UnDefend — que afetam o Defender, o BitLocker e componentes do Windows. Três deles (GreenPlasma, MiniPlasma e YellowKey) foram corrigidos apenas no Patch Tuesday de junho de 2026. Para entender o padrão mais amplo de ataque ao Defender, vale revisar como zero-days do Microsoft Defender têm sido explorados em ataques reais e a análise técnica do zero-day RoguePlanet no Defender.
O que fazer agora
A janela entre patch e adoção é onde o risco se concentra. As equipes de segurança devem:
- Confirmar o patch de abril de 2026 aplicado em toda a frota Windows, incluindo estações de trabalho, servidores e terminais de acesso remoto.
- Restringir privilégios locais: o BlueHammer exige que o atacante já tenha um ponto de apoio na máquina. Contas de usuário padrão e remoção de direitos de administrador local reduzem a janela de exploração.
- Monitorar cópias VSS e acesso ao hive SAM com alertas EDR para leitura de SAM/SYSTEM/SECURITY fora de processos confiáveis, criação de shadow copy por processos não esperados e uso de oplocks em fluxos de atualização.
- Investigar persistência: contas locais criadas recentemente, serviços SYSTEM não documentados, tarefas agendadas novas e hashes NTLM alterados sem motivo administrativo.
- Tratar qualquer alerta de hands-on-keyboard como incidente e isolar a máquina imediatamente — grupos de ransomware movem-se em minutos após conseguir SYSTEM.