CVE-2026-33825

Nome do Software Vulnerável e Versões Afetadas Microsoft Defender antimalware platform versões anteriores a 4.18.26030.3011 Windows 10 (versões afetadas não especificadas) Windows 11 (versões afetadas não especificadas) Windows Server 2019 e posteriores (versões afetadas não especificadas)

Description O Microsoft Defender contém uma granularidade insuficiente de controle de acesso e uma falha de tempo de verificação para tempo de uso (TOCTOU) em seu fluxo de trabalho de atualização de assinaturas e remediação. Este problema permite que um invasor local ou aplicativo malicioso ignore as verificações de segurança e eleve seus privilégios para NT AUTHORITYSYSTEM.

A exploração técnica envolve uma cadeia lógica usando a API Windows Cloud Files, Volume Shadow Copy (VSS) e Travas Oportunistas (Oplocks). Invasores podem disparar uma atualização do Defender ou um evento de remediação e usar Oplocks para pausar o processo durante a criação de um snapshot VSS. Isso permite que o invasor acesse snapshots estáticos das colmeias de registro SAM, SYSTEM e SECURITY para extrair hashes administrativos ou competir com a reescrita de arquivos maliciosos marcados na nuvem para sobrescrever um binário do SYSTEM, como C:Windowssystem32TieringEngineService.exe.

Incidentes reais foram relatados onde esta falha foi usada por agentes de ameaças para desativar logs de segurança, criptografar discos rígidos via ransomware e exfiltrar dados sensíveis, incluindo senhas de navegador e cookies de sessão. Alguns ataques foram vinculados a conexões FortiGate SSL VPN comprometidas originárias da Rússia.

Recommendations Atualize a plataforma antimalware do Microsoft Defender para a versão 4.18.26030.3011 ou superior. Restrinja o Serviço de Cópia de Sombra de Volume (Volume Shadow Copy Service) apenas a usuários administrativos específicos via Política de Grupo. Monitore qualquer processo que chame vssvc.exe que não seja uma ferramenta de backup reconhecida. Audite os logs em busca de atividade incomum do CldFlt (Cloud Files Mini Filter) originada de diretórios que não sejam do sistema.