Logo TecMundo
Segurança

Falha no Microsoft Defender permite controle total do sistema a invasores

Brecha local permite escalada de privilégios e controle total da máquina; agência de segurança dos EUA incluiu o bug em lista de alerta máximo após ataques reais de ransomware.

Avatar do(a) autor(a): Felipe Vitor Vidal Neri

schedule01/07/2026, às 18:30

Uma nova brecha no Microsoft Defender permitia que grupos especializados em ransomware acessassem sistemas inteiros. Essa vulnerabilidade foi encontrada pelo pesquisador Nightmare Eclipse em abril, mas só agora tivemos mais informações sobre a potencial gravidade da falha.

Nomeada de BlueHammer e catalogada como CVE-2026-33825, essa é uma falha local (LPE) que permitia a escalada de privilégios no sistema. Na prática, isso significa que a brecha não permite que um hacker invada o seu computador diretamente pela internet de forma remota. No entanto, se o atacante já tiver conseguido um acesso inicial à máquina, a BlueHammer pode permitir controle total do sistema.

smart_display

Nossos vídeos em destaque

"Nesse ponto, os atacantes basicamente se tornam donos do sistema e podem fazer coisas como abrir um shell com privilégios", explicou Will Dormann, analista da firma de segurança Tharros, em entrevista ao site BleepingComputer. Com esse nível de acesso, grupos especializados em ransomware ganham passe livre para criptografar redes inteiras e paralisar operações de empresas e órgãos públicos.

brecha-bluehammer.jpg
Microsoft Defender roda com privilégios máximos do sistema Will Dormann / reprodução

A gravidade da falha está diretamente ligada ao papel do Microsoft Defender no ecossistema do Windows. Por ser o antivírus nativo do sistema, o Defender roda com os privilégios mais altos possíveis do sistema operacional. Caso a BlueHammer seja explorada, os atacantes podem chegar ao Security Account Manager (SAM), a base de dados que armazena senhas locais criptografadas do PC.

Uma vez que os criminosos ganham acesso a esse arquivo, eles podem extrair essas credenciais e usar ferramentas de força bruta para descriptografá-las, comprometendo toda a segurança da máquina e de outras contas vinculadas.

CISA colocou a falha em lista de brechas perigosas

Um dos pontos que mostra o perigo da falha BlueHammer é que ela já foi até adicionada ao KEV, ou seja, uma lista de vulnerabilidades possíveis de serem exploradas. A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) realizou essa adição no fim de abril e mobilizou agências federais do país a atualizarem seus sistemas.

Isso criou um cenário esquisito com a Microsoft, que adotou uma postura bem conservadora em relação à vulnerabilidade e isso gerou a revolta do pesquisador. Por outro lado, a CISA não quis perder tempo e entendeu que uma falha assim poderia ser ativamente utilizada por grupos de ransomware.

No caso do Microsoft Defender em si, a situação é bem mais chata. Nos últimos anos, a CISA classificou oito falhas que poderiam ser exploradas de maneira bem perigosa. Caso algum invasor consiga quebrar essa barreira de segurança do Windows, o caminho fica livre para ganhar acesso ao sistema.

Como essa é uma falha originada nativamente do ecossistema do Windows, o melhor jeito de se proteger é atualizar o sistema operacional. A Microsoft já disponibilizou patches de segurança correção via Windows Update.

Por falar em brechas, uma vulnerabilidade conhecida como GhostTree usava o próprio Windows para esconder um malware de antivírus. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.

star

Continue por aqui