O que aconteceu

A agência americana CISA confirmou na segunda-feira que grupos de ransomware estão explorando uma vulnerabilidade de alta severidade no Microsoft Defender. A falha ganhou o apelido de BlueHammer e foi registrada como CVE-2026-33825.

De acordo com o relato, o problema já tinha sido usado antes em ataques de dia zero, ou seja, quando ainda não havia correção disponível para todos. Em abril, um pesquisador conhecido como “Nightmare Eclipse” publicou detalhes e um código de demonstração da falha, em protesto contra a forma como o Microsoft Security Response Center conduzia o processo de divulgação.

Como a falha funciona

A Microsoft descreveu o problema como uma falta de controle mais preciso de acesso no Microsoft Defender. Na prática, quem já conseguiu acesso local autorizado ao computador pode usar a brecha para obter permissões bem maiores do que deveria.

Will Dormann, analista principal de vulnerabilidades da Tharros, explicou ao BleepingComputer que a exploração não é trivial, mas pode liberar acesso ao banco Security Account Manager, conhecido como SAM. Esse banco guarda os hashes de senhas das contas locais. Com isso em mãos, o invasor consegue chegar ao nível SYSTEM, uma permissão altíssima no Windows, e dominar a máquina afetada.

Sinais de alerta

O material disponível não lista indicadores técnicos específicos do ataque, mas a consequência descrita ajuda a orientar a investigação. As equipes de TI devem ficar atentas a situações como:

• contas locais realizando ações fora do padrão;
• tentativas incomuns de acesso a áreas protegidas do Windows;
• processos surgindo com privilégios SYSTEM sem motivo claro;
• movimentação suspeita logo após um primeiro acesso ao computador;
• indícios de ransomware, como arquivos inacessíveis ou atividades de bloqueio de dados.

Como se proteger

A primeira medida é confirmar se a correção da Microsoft de 14 de abril de 2026, publicada no Patch Tuesday de abril, já foi aplicada. Como a falha passou a estar associada a ransomware, adiar a atualização agora significa carregar um risco operacional concreto.

Em paralelo, reduza a chance de o invasor conseguir aquele primeiro acesso. Revise as contas locais, retire permissões desnecessárias e acompanhe os eventos de privilégio elevado. A autenticação forte e a gestão centralizada de acessos diminuem o impacto de senhas expostas ou abusadas, ainda que não substituam a atualização de segurança.

Checklist pratico

1. Verifique se todos os computadores com Microsoft Defender receberam a correção de 14 de abril de 2026.
2. Revise contas locais, privilégios administrativos e acessos que já não precisam existir.
3. Monitore ações com privilégio SYSTEM e investigue qualquer comportamento fora do padrão.
4. Priorize máquinas críticas, servidores e estações usadas por equipes com acesso sensível.
5. Use autenticação forte para reduzir o risco de uso indevido de credenciais.

Perguntas frequentes

O que é a BlueHammer?

BlueHammer é o apelido da vulnerabilidade CVE-2026-33825 no Microsoft Defender. Ela permite elevação local de privilégios no Windows.

A falha já tem correção?

Sim. A Microsoft corrigiu a vulnerabilidade em 14 de abril de 2026, dentro do Patch Tuesday de abril.

Por que ransomware se interessa por essa falha?

Porque elevar privilégios abre espaço para um controle muito maior do sistema. Segundo a análise citada, o invasor pode chegar ao nível SYSTEM e praticamente dominar a máquina afetada.

Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com

Fontes:
https://www.bleepingcomputer.com/news/security/cisa-windows-bluehammer-flaw-now-exploited-by-ransomware-gangs/