Windows Defender

Um pesquisador de segurança lançou uma ferramenta de evasão aprimorada chamada EDR-Redir V2, que explora a tecnologia de links de vinculação do Windows para contornar soluções de Detecção e Resposta de Endpoint (EDR) no Windows 11. Esta nova versão adota uma abordagem diferente de seu antecessor, visando diretórios pai em vez de atacar diretamente as pastas do software de segurança. A técnica se baseia na manipulação inteligente das estruturas de pastas do Windows, que os softwares de segurança dependem. Ao instalar, esses softwares colocam seus arquivos em locais padrão, como Program Files e ProgramData, e não conseguem impedir modificações em diretórios pai sem comprometer outras instalações legítimas. O EDR-Redir V2 cria links de vinculação que redirecionam pastas inteiras, fazendo com que o software de segurança acredite que a pasta controlada pelo atacante é seu diretório pai legítimo. Isso permite que os atacantes realizem o sequestro de DLLs, colocando arquivos executáveis maliciosos na localização redirecionada, potencialmente obtendo privilégios de execução de código sem serem detectados. A ferramenta está disponível publicamente no GitHub, o que a torna acessível tanto para pesquisadores de segurança quanto para potenciais agentes de ameaça. As organizações que utilizam soluções EDR no Windows devem avaliar suas defesas contra essa técnica e implementar controles de monitoramento adequados.

Em setembro de 2025, a Microsoft lançou uma atualização de segurança que corrige quatro falhas de elevação de privilégios no serviço Windows Defender Firewall, todas classificadas como importantes. As vulnerabilidades identificadas como CVE-2025-53808, CVE-2025-54104, CVE-2025-54109 e CVE-2025-54915 podem permitir que um atacante autenticado com privilégios elevados consiga acesso ao nível de Serviço Local, comprometendo a integridade do sistema. Três das falhas estão relacionadas a um erro de confusão de tipo, que ocorre quando um recurso é tratado como um tipo de dado diferente do que realmente é, levando à corrupção de memória. A exploração dessas falhas requer que o usuário esteja autenticado e pertença a um grupo restrito do Windows, o que limita a probabilidade de exploração, embora a gravidade das falhas ainda represente um risco significativo. A Microsoft recomenda que administradores e usuários apliquem as atualizações de setembro de 2025 imediatamente para mitigar esses riscos.

Pesquisadores de segurança da eSentire identificaram uma nova botnet e infostealer chamada NightshadeC2, que utiliza uma técnica inovadora chamada ‘UAC Prompt Bombing’ para contornar as defesas do Windows Defender. Essa técnica força as vítimas a aprovar exclusões no Windows Defender através de prompts repetidos, permitindo que o malware opere sem ser detectado. O NightshadeC2 possui variantes em C e Python, com a versão em C oferecendo uma gama completa de funcionalidades, como execução de comandos, captura de tela, keylogging e roubo de credenciais. A distribuição do malware ocorre por meio de ataques ClickFix, onde os usuários são levados a executar comandos maliciosos após interagir com CAPTCHAs falsificados. A técnica de ‘UAC Prompt Bombing’ não só permite que o malware evite a detecção pelo Windows Defender, mas também dificulta a análise em ambientes de sandbox, tornando-se um desafio significativo para a segurança cibernética. Em resposta, a eSentire implementou conteúdos de detecção e recomendações para mitigar os riscos associados, como desativar o prompt de execução do Windows e realizar treinamentos de conscientização sobre phishing. O caso do NightshadeC2 destaca a rápida evolução das táticas de ataque e a necessidade de estratégias de defesa adaptativas.