Hackers estão explorando ativamente duas vulnerabilidades não corrigidas no Windows Defender, conhecidas como UnDefend e RedSun, após a divulgação pública de códigos de exploração no GitHub nas últimas semanas.
A Huntress, empresa de cibersegurança, afirma ter identificado ataques reais contra ao menos uma organização, e alerta que a Microsoft ainda não disponibilizou patch para as falhas. Até o momento, apenas a falha BlueHammer foi corrigida pela Microsoft.
O vetor de ataque é direto: o código de exploração publicado não exige adaptação sofisticada, permitindo que agentes maliciosos elevem privilégios e assumam o controle administrativo de máquinas que utilizam o Defender como camada de proteção principal.
O debate em torno da divulgação completa se intensifica. Chaotic Eclipse justifica o full disclosure pela pressão pública para que fabricantes corrijam mais rápido; defensores da coordenação privada argumentam que falhas publicadas podem se tornar armas antes do patch estar disponível. A CISA também alerta sobre quatro vulnerabilidades Microsoft ativamente exploradas.
Medidas recomendadas incluem ativar e manter atualizadas soluções de EDR, monitorar incidentes de escalada de privilégio, aplicar o menor privilégio possível, e vigiar repositórios públicos como o GitHub para novos exploits. O caso afeta setores de governo, finanças, saúde e defesa, onde o impacto de um ataque pode ser devastador, especialmente com centenas de milhares de sistemas expostos.
Dados adicionais indicam que mais de 2.800 instâncias do Windows Server Update Services (WSUS) foram identificadas com portas 8530/8531 expostas à Internet, reforçando a exigência de práticas robustas de patch management.
