Elevação De Privilégios

O pesquisador de segurança Chaotic Eclipse divulgou uma prova de conceito (PoC) para uma vulnerabilidade zero-day no Windows, chamada MiniPlasma, que permite a elevação de privilégios para SYSTEM em sistemas Windows totalmente atualizados. A falha, que afeta o driver ‘cldflt.sys’ (Windows Cloud Files Mini Filter Driver), foi inicialmente reportada ao Microsoft por James Forshaw, do Google Project Zero, em setembro de 2020. Embora a Microsoft tenha supostamente corrigido a vulnerabilidade em dezembro de 2020, Chaotic Eclipse descobriu que o problema persiste sem correção. A PoC original funcionou sem alterações, e o pesquisador conseguiu criar uma versão armada que abre um shell SYSTEM. A vulnerabilidade parece afetar todas as versões do Windows, com testes indicando que funciona de forma confiável em sistemas Windows 11 com as atualizações mais recentes. A Microsoft já havia abordado outra falha de elevação de privilégios no mesmo componente em dezembro de 2025, mas a MiniPlasma continua sem solução. A situação é preocupante, pois a exploração dessa vulnerabilidade pode permitir que atacantes obtenham controle total sobre sistemas vulneráveis.

A Huntress alertou sobre a exploração de três vulnerabilidades recentemente divulgadas no Microsoft Defender, conhecidas como BlueHammer, RedSun e UnDefend. Essas falhas, que permitem a elevação de privilégios em sistemas comprometidos, foram reveladas por um pesquisador sob o pseudônimo Chaotic Eclipse. BlueHammer e RedSun são falhas de elevação de privilégios locais (LPE), enquanto UnDefend pode causar uma condição de negação de serviço (DoS), bloqueando atualizações de definições. A Microsoft já lançou uma correção para BlueHammer, identificada como CVE-2026-33825, mas as outras duas falhas ainda não têm solução disponível. A Huntress observou que a exploração de BlueHammer começou em 10 de abril de 2026, seguida por RedSun e UnDefend em 16 de abril. As atividades dos atacantes foram identificadas através de comandos típicos de enumeração, indicando que os invasores estavam ativos no sistema. A empresa de cibersegurança tomou medidas para isolar as organizações afetadas e evitar novas explorações. A situação destaca a importância de uma resposta rápida a vulnerabilidades críticas, especialmente em ambientes corporativos que utilizam amplamente o Microsoft Defender.

Em setembro de 2025, a Microsoft lançou uma atualização de segurança que corrige quatro falhas de elevação de privilégios no serviço Windows Defender Firewall, todas classificadas como importantes. As vulnerabilidades identificadas como CVE-2025-53808, CVE-2025-54104, CVE-2025-54109 e CVE-2025-54915 podem permitir que um atacante autenticado com privilégios elevados consiga acesso ao nível de Serviço Local, comprometendo a integridade do sistema. Três das falhas estão relacionadas a um erro de confusão de tipo, que ocorre quando um recurso é tratado como um tipo de dado diferente do que realmente é, levando à corrupção de memória. A exploração dessas falhas requer que o usuário esteja autenticado e pertença a um grupo restrito do Windows, o que limita a probabilidade de exploração, embora a gravidade das falhas ainda represente um risco significativo. A Microsoft recomenda que administradores e usuários apliquem as atualizações de setembro de 2025 imediatamente para mitigar esses riscos.