Hackers estão explorando ativamente duas vulnerabilidades não corrigidas no Windows Defender após um pesquisador de segurança publicar códigos de exploração no GitHub nas últimas duas semanas. Ao menos uma organização já foi comprometida, segundo a empresa de cibersegurança Huntress, que identificou ataques reais em andamento. As falhas, batizadas de UnDefend e RedSun, permitem que invasores obtenham acesso administrativo em sistemas Windows, e ainda não possuem patch disponível da Microsoft.
Duas vulnerabilidades críticas no zero-day Windows Defender permanecem sem correção enquanto agentes maliciosos as exploram ativamente. A confirmação veio da Huntress, empresa especializada em cibersegurança, que identificou ataques reais contra ao menos uma organização nas últimas duas semanas. O vetor de entrada é direto, o próprio código de exploração publicado abertamente no GitHub.
O pesquisador que acendeu o rastilho
O responsável pela divulgação é o pesquisador conhecido pelo pseudônimo Chaotic Eclipse. Ele afirma ter agido por frustração após um conflito com a Microsoft, e optou pela chamada full disclosure, a divulgação pública de vulnerabilidades antes que um patch esteja disponível.
Das três falhas expostas, apenas a BlueHammer foi corrigida pela Microsoft até o momento. As outras duas, UnDefend e RedSun, seguem abertas. Todas permitem que um invasor eleve privilégios e obtenha controle administrativo sobre o sistema comprometido.
O detalhe mais preocupante para equipes de TI é a acessibilidade do ataque. O código publicado no GitHub não exige adaptações sofisticadas. Qualquer agente malicioso, independentemente do nível técnico, pode utilizá-lo diretamente contra ambientes corporativos que dependem do Windows Defender como camada primária de proteção.
Full disclosure: quando a transparência vira arma
O episódio acende um debate que divide a comunidade de segurança há décadas. A full disclosure pressupõe que tornar as falhas públicas pressiona os fabricantes a corrigirem problemas com mais agilidade. Na prática, porém, o resultado imediato é diferente, vulnerabilidades viram ferramentas de ataque antes que as defesas estejam prontas.
No modelo alternativo, a coordinated disclosure, o pesquisador comunica a falha ao fabricante em caráter privado e aguarda um prazo razoável para a publicação. Quando esse canal falha, seja por desatenção, burocracia ou conflito direto, o resultado pode ser exatamente o que estamos vendo agora: exploits funcionais circulando livremente enquanto milhões de sistemas permanecem vulneráveis.
Para executivos de TI, o caso recoloca uma questão estratégica urgente: até que ponto a organização depende de um único fornecedor como linha principal de defesa? O zero-day Windows Defender evidencia os riscos de uma arquitetura de segurança com pontos únicos de falha.
Números que ampliam o alerta
Os dados disponíveis tornam o cenário ainda mais grave. Em paralelo a este caso, mais de 2.800 instâncias do Windows Server Update Services foram identificadas com portas 8530 e 8531 expostas diretamente à internet, cerca de 28% delas localizadas nos Estados Unidos. A exposição de sistemas de atualização representa um risco adicional significativo para qualquer estratégia de patch management.
Além disso, grupos de hackers patrocinados por estados nacionais já exploram vulnerabilidades não corrigidas no Windows há anos. Pesquisas apontam que ao menos 11 grupos de ameaças persistentes avançadas, conhecidos como APTs, tiraram vantagem de uma única falha não corrigida desde 2017. O padrão se repete, janelas de exposição longas alimentam operações de espionagem e sabotagem de alto impacto.
A CISA, agência americana de cibersegurança, emitiu alertas recentes sobre quatro vulnerabilidades Microsoft ativamente exploradas. O ambiente operacional para CISOs e diretores de TI está, portanto, mais exigente do que nunca.
O que equipes de segurança precisam fazer agora
Diante de um zero-day Windows Defender ativo e sem patch disponível, a resposta precisa ser imediata e em camadas. Aguardar a correção da Microsoft não é uma estratégia viável quando ataques já estão em andamento.
O primeiro passo é garantir que soluções de EDR, Endpoint Detection and Response, estejam ativas e atualizadas em todos os endpoints críticos. O EDR oferece capacidade de detecção comportamental que vai além das assinaturas tradicionais do antivírus, sendo especialmente relevante quando o próprio Defender é o alvo.
Monitoramento contínuo de logs e alertas relacionados a escalada de privilégios deve ser priorizado. As falhas UnDefend e RedSun permitem que invasores obtenham acesso de administrador, qualquer atividade anômala nessa direção precisa ser investigada com urgência.
Revisar e restringir permissões de execução em ambientes sensíveis também reduz a superfície de ataque. O princípio do menor privilégio, quando aplicado de forma consistente, limita o raio de ação de um exploit mesmo que ele seja executado com sucesso.
Por fim, equipes de inteligência de ameaças devem monitorar ativamente repositórios públicos como o GitHub em busca de novos exploits relacionados ao ambiente Windows. A velocidade com que um código publicado se transforma em ferramenta de ataque real, como este caso demonstra, é hoje medida em horas, não em dias.
Setores como governo, finanças, saúde e defesa concentram os maiores riscos. São ambientes com alta dependência do ecossistema Windows, grandes superfícies de ataque e consequências severas em caso de comprometimento. Para líderes de TI nessas indústrias, este episódio não é um alerta teórico, é um caso real, com vítimas reais, acontecendo agora.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!