PT-2026-32884 · Microsoft · Defender

·

CVE-2026-33825

·

Publicado

2026-04-02

·

Atualizado

2026-07-16

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas microsoft defender antimalware platform versões anteriores a 4.18.26030.3011
Description O Microsoft Defender apresenta uma falha de granularidade insuficiente no controle de acesso, especificamente uma condição de corrida de tempo de verificação para tempo de uso (TOCTOU) no fluxo de trabalho de atualização de assinaturas e remediação. Este problema permite que um invasor local autorizado com baixos privilégios eleve suas permissões para o nível NT AUTHORITYSYSTEM. O processo de exploração, apelidado de BlueHammer, envolve o encadeamento da API Windows Cloud Files, Travas Oportunistas (Oplocks) e snapshots de Cópia de Sombra de Volume (VSS). Ao pausar o processo do Defender durante uma atualização de assinatura ou varredura, um invasor pode acessar o snapshot VSS montado para ler colmeias de registro bloqueadas, como SAM, SYSTEM e SECURITY, a fim de extrair hashes de administradores locais.
Esta falha foi explorada ativamente como um zero-day por grupos de ransomware para desativar a proteção de endpoint e entregar payloads. Incidentes reais vincularam esses ataques a conexões FortiGate SSL VPN comprometidas com endereços IP geolocalizados na Rússia.
Recommendations Atualize a plataforma Defender para a versão 4.18.26030.3011 ou superior. Use a Diretiva de Grupo para restringir o Serviço de Cópia de Sombra de Volume apenas a usuários administrativos específicos. Monitore qualquer processo que chame o vssvc.exe que não seja uma ferramenta de backup conhecida. Audite os logs em busca de atividade incomum do CldFlt (Cloud Files Mini Filter) originada de diretórios que não sejam do sistema.

Correção

LPE

DoS

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-05271
CVE-2026-33825

Produtos afetados

Defender