Seis Vulnerabilidades Zero-Day no Microsoft Windows

Seis Vulnerabilidades Zero-Day no Microsoft WindowsYellowKey (CVE-2026-45585) | GreenPlasma | MiniPlasma |BlueHammer (CVE-2026-33825) | RedSun (CVE-2026-41091) | UnDefend (CVE-2026-45498)

Publicado em 29/05/2026 18:10
Compartilhe:

Severidade: CRÍTICO — Três vulnerabilidades sem patch disponível; três já corrigidas com exploração ativa confirmada

Seis vulnerabilidades zero-day no Microsoft Windows estão sendo exploradas ativamente ou representam risco imediato de exploração. BlueHammer, RedSun e UnDefend já possuem correção disponível com exploração confirmada em ambiente real desde abril de 2026. YellowKey, GreenPlasma e MiniPlasma permanecem sem patch. Quando encadeadas, as falhas permitem o comprometimento total de sistemas Windows.

DESTINATÁRIOS

Órgãos e entidades do SISP que operam ambientes Microsoft Windows 10, Windows 11 e/ou Windows Server 2019, 2022 e 2025, especialmente aqueles com uso do Microsoft Defender como solução de segurança de endpoint e/ou BitLocker para proteção de dados em repouso ou em trânsito.

RESUMO

As seis vulnerabilidades fazem parte de uma série de divulgações públicas realizadas por um pesquisador antes que qualquer correção estivesse disponível. A Microsoft manifestou formalmente sua contrariedade a essas divulgações e confirmou que suas equipes de segurança trabalharam ininterruptamente para entender o impacto e desenvolver atualizações.

VULNERABILIDADES SEM PATCH DISPONÍVEL

1. YellowKey — CVE-2026-45585 | Bypass do BitLocker
Tipo: Bypass de proteção de volume criptografado
Sistemas afetados: Windows 11; Windows Server 2022 e 2025
Vetor: Acesso físico ao dispositivo
Status do patch: SEM CORREÇÃO DISPONÍVEL
Mecanismo: Cópia de arquivos "FsTx" especialmente criados em um pendrive ou na partição EFI do sistema. Essa técnica contorna as proteções do BitLocker, possibilitando acesso ao conteúdo cifrado do disco sem as credenciais de autenticação.

2. GreenPlasma — LPE via CTFMON (CVE não atribuído)
Tipo: Escalação de Privilégio Local (LPE)
Sistemas afetados: Microsoft Windows — versões específicas em avaliação pelo MSRC (tratar como Windows 10/11 e Windows Server 2019/2022/2025)
Vetor: Execução local
Status do patch: SEM CORREÇÃO DISPONÍVEL
Mecanismo: Exploração do processo CTFMON.EXE (Text Input Framework) para obter escalação de privilégios de usuário local para SYSTEM, comprometendo a integridade do sistema operacional e possibilitando instalação de malware persistente.

3. MiniPlasma — LPE via Cloud Filter / Windows Cloud Files API (CVE não atribuído)
Tipo: Escalação de Privilégio Local (LPE)
Sistemas afetados: Microsoft Windows — mesma ressalva do GreenPlasma
Vetor: Execução local
Status do patch: SEM CORREÇÃO DISPONÍVEL
Mecanismo: Abuso do Windows Cloud Files API (Cloud Filter Driver) para escalação de privilégios locais até SYSTEM. O mecanismo é análogo ao da vulnerabilidade RedSun (já corrigida), que utilizava técnicas de oplock para redirecionar operações de escrita para o diretório System32.

VULNERABILIDADES COM PATCH DISPONÍVEL (exploração ativa confirmada)

4. BlueHammer — CVE-2026-33825 | LPE no Microsoft Defender
Tipo: Escalação de Privilégio Local (LPE)
Sistemas afetados: Microsoft Windows 10/11 com Microsoft Defender
Vetor: Execução local
Status do patch: PATCH DISPONÍVEL — aplicar imediatamente
Mecanismo: Escalação de privilégios locais no Microsoft Defender, permitindo que um usuário sem privilégios administrativos eleve suas permissões para SYSTEM.

5. RedSun — CVE-2026-41091 | LPE no Microsoft Defender via Cloud Files API
Tipo: Escalação de Privilégio Local (LPE)
Sistemas afetados: Microsoft Windows 10/11 com Microsoft Defender
Vetor: Execução local
Status do patch: PATCH DISPONÍVEL — aplicar imediatamente
Mecanismo: Escrita de arquivo de teste EICAR via Windows Cloud Files API, utilizando oplock para interromper o processo de recuperação de arquivos do Defender e redirecionar o caminho de escrita para o diretório System32, onde um arquivo crítico do sistema é sobrescrito e imediatamente executado, concedendo acesso SYSTEM ao atacante.

6. UnDefend — CVE-2026-45498 | DoS no Microsoft Defender
Tipo: Negação de Serviço (DoS) — bloqueio de atualizações de definições
Sistemas afetados: Microsoft Windows 10/11 com Microsoft Defender
Vetor: Execução local
Status do patch: PATCH DISPONÍVEL — aplicar imediatamente
Mecanismo: Causa negação de serviço no Microsoft Defender, bloqueando efetivamente as atualizações de definições de vírus e deixando o endpoint cego a novas ameaças.

IMPACTO

A exploração bem-sucedida das vulnerabilidades, isoladamente ou em cadeia, pode resultar em:

  • Escalação de privilégios para SYSTEM por qualquer usuário local autenticado (BlueHammer, RedSun, GreenPlasma, MiniPlasma), permitindo comprometimento total do sistema operacional e instalação de malware persistente.
  • Indisponibilidade do Microsoft Defender por bloqueio de atualizações de definições (UnDefend), deixando o endpoint vulnerável a ameaças subsequentes.
  • Acesso ao conteúdo de discos protegidos pelo BitLocker sem credenciais, em casos de perda, furto ou acesso físico não autorizado (YellowKey).
  • Encadeamento completo confirmado em ataques reais (Barracuda Networks, maio 2026): (1) BlueHammer/RedSun/MiniPlasma para escalação de privilégios; (2) UnDefend para neutralizar o Defender; (3) YellowKey para extração de dados via bypass do BitLocker.
  • Movimentação lateral na rede, exfiltração de dados e comprometimento da cadeia de identidade corporativa.

A Huntress Labs confirmou exploração ativa dos exploits desta campanha desde pelo menos 10 de abril de 2026, com evidências de atividade de ameaça com presença humana ativa (hands-on-keyboard).

AÇÕES RECOMENDADAS

Ações imediatas (hoje):

  • Aplicar os patches de BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) e UnDefend (CVE-2026-45498) em todos os ativos Windows — exploração ativa confirmada.
  • Habilitar autenticação TPM + PIN no BitLocker em todos os dispositivos, sendo a contramedida mais eficaz contra YellowKey.
  • Restringir e auditar o acesso físico a dispositivos, especialmente notebooks e servidores com dados sensíveis.

Mitigações para GreenPlasma e MiniPlasma (sem patch disponível):

  • Implantar ou atualizar EDR com regras de detecção para: uso suspeito de CTFMON.EXE fora do contexto de entrada de texto; operações anômalas via Cloud Filter Driver; acesso irregular a shadow copies; criação de seções de memória por processos sem privilégio.
  • Aplicar o princípio do menor privilégio: revisar e restringir contas com permissões administrativas desnecessárias.
  • Bloquear execução de código não assinado via Windows Defender Application Control (WDAC) ou AppLocker.
  • Monitorar criação de processos filhos originados a partir de CTFMON.EXE.

Mitigações para YellowKey (sem patch disponível):

  • Desabilitar boot por dispositivos USB removíveis via política de BIOS/UEFI (Secure Boot habilitado + senha de BIOS configurada).
  • Inventariar e priorizar dispositivos com Windows 11 e Windows Server 2022/2025 para aplicação das medidas acima.

Medidas gerais:

  • Revisar e fortalecer políticas de acesso SSLVPN/VPN, sendo o vetor de acesso inicial confirmado nos ataques.
  • Verificar integridade de arquivos críticos em System32, relevante especialmente para ambientes onde RedSun pode ter sido explorado antes da aplicação do patch.
  • Habilitar e revisar logs de Event ID 4688 (criação de processos) e Event ID 4672 (atribuição de privilégios especiais).
  • Revisar membros dos grupos de Administradores Locais nos endpoints, dado que os LPEs desta campanha partem de usuários locais comuns.
  • Monitorar diariamente o MSRC (https://msrc.microsoft.com).
  • Manter postura elevada de monitoramento no período próximo a 14 de julho de 2026 — data ameaçada pelo pesquisador para nova divulgação de exploits, coincidindo com o Patch Tuesday da Microsoft.

REFERÊNCIAS

Microsoft

  • https://www.microsoft.com/en-us/msrc/blog/2026/05/a-shared-responsibility-protecting-customers-through-coordinated-vulnerability-disclosure

Imprensa técnica especializada

  • The Hacker News — Windows Zero-Days Expose BitLocker (mai. 2026): https://thehackernews.com/2026/05/windows-zero-days-expose-bitlocker.html
  • Bleeping Computer — Recently Leaked Windows Zero-Days Now Exploited in Attacks: https://www.bleepingcomputer.com/news/security/recently-leaked-windows-zero-days-now-exploited-in-attacks/
  • The Register — Disgruntled Researcher Releases Two More Microsoft Zero-Days (mai. 2026): https://www.theregister.com/security/2026/05/13/disgruntled-researcher-releases-two-more-microsoft-zero-days/5239758
  • TechRepublic — Microsoft Defender Flaws Exploited on Windows 10/11: https://www.techrepublic.com/article/news-microsoft-defender-flaws-exploited-windows-10-11/

Threat intelligence / pesquisa:

  • Barracuda Networks — Nightmare Eclipse Zero-Days Grudge (19 mai. 2026): https://blog.barracuda.com/2026/05/19/nightmare-eclipse-zero-days-grudge
  • Cybernews — GitLab Bans Rogue Researcher Releasing Windows Zero-Days: https://cybernews.com/security/gitlab-bans-rogue-researcher-releasing-windows-zero-days/
  • Windows Forum — Nightmare Eclipse Zero-Day GitHub/GitLab Bans, Patch Timeline and Defender Risk: https://windowsforum.com/threads/nightmare-eclipse-windows-zero-day-github-gitlab-bans-patch-timeline-and-defender-risk.420500/
Compartilhe: