Exploits Transform Windows Defender em Ferramenta de Ataque

O pesquisador Nightmare-Eclipse divulgou publicamente três Provas de Conceito (PoCs): BlueHammer (CVE-2026-33825), uma condição de corrida Time of Check Time Of Use (TOCTOU) no fluxo de trabalho de atualização de assinatura do Defender, corrigida em abril; RedSun, uma falha não corrigida que abusa da remediação acionada pelo EICAR contra o TieringEngineService.exe para instalar binários de atacantes como SYSTEM em Windows 10/11 e Server 2019+ totalmente atualizados; e UnDefend, uma ferramenta pós-SYSTEM que impede o Defender de receber inteligência de ameaças enquanto falsifica relatórios de saúde. A Huntress observou intrusões manuais que preparavam binários nas subpastas Downloads e Pictures, renomeando-os com variantes para suprimir detecções do VirusTotal, com o acesso inicial consistentemente rastreado a contas de SSL VPN sem MFA. Os defensores devem aplicar as atualizações de abril de 2026 e verificar diretamente o Antimalware Platform v4.18.26050.3011 (o UnDefend pode falsificar o dashboard), forçar MFA em todo acesso remoto, bloquear a execução de Downloads/Pictures/Temp e definir um baseline do hash do TieringEngineService.exe a partir de uma camada de detecção out-of-band.