O Diário de Analistas
Vol. 2  |  N. 4  |  Pp. 91–92  |  2026  |  ISSN xxxx-xxxx

PoC Zero-day no Windows Defender Permite Escalação Total de Privilégios

Publicado por: Adriano Cansian.
Data de publicação: 16 de abril de 2026.
Data de atualização: 16 de abril de 2026.

Há poucas horas, em 15 de abril de 2026, foi disponibilizada publicamente no GitHub (repositório Nightmare-Eclipse/RedSun) uma PoC para uma vulnerabilidade intitulada como “Red Sun“, que explora uma falha lógica crítica no Windows Defender. Até onde sabemos, a PoC se trata uma falha não corrigida (zero-day), como resposta à correção da anterior “BlueHammer” (CVE-2026-33825) [1] , que já foi tratada aqui no Diário em publicação do dia 14/4/2026.

O Que a Vulnerabilidade Atinge

Essa PoC explora um comportamento inesperado do Windows Defender: quando um arquivo malicioso recebe uma “cloud tag” (etiqueta de nuvem), o antivírus reescreve o arquivo de volta ao seu local original em vez de removê-lo, permitindo a sobrescrita de arquivos do sistema.

Isso resulta em escalação de privilégios para nível administrativo (SYSTEM) em Windows 10, 11 e Server, afetando diretamente a integridade do sistema operacional.

Impacto Prático

A vulnerabilidade compromete a função básica do Defender como protetor, transformando-o em vetor de ataque ao restaurar payloads maliciosos e facilitar persistência em diretórios protegidos como System32.

Status Atual

Pesquisas em bancos como NVD, Red Hat CVE, dentre outros, não retornaram ID CVE para Red Sun, até o momento da escrita desse relatório, confirmando que permanece sem número oficial atribuído e sem solução.

O repositório contém o PoC em C++, mas sem menção a CVE. Recomenda-se monitoramento de IOCs como atividade de escrita do MsMpEng.exe em diretórios protegidos.

Esse relatório será atualizado ao surgirem mais informações.

Mitigações

Mitigações para a vulnerabilidade Red Sun incluem monitoramento de atividades suspeitas do Windows Defender e ativação de proteções adicionais enquanto aguarda patch oficial.

Medidas Imediatas

  • Ative a Tamper Protection [2] no Windows Defender para prevenir alterações não autorizadas em configurações e arquivos.
  • Monitore o processo MsMpEng.exe por escritas inesperadas em diretórios protegidos como C:\Windows\System32.

Detecção Avançada

  • Use ferramentas como Osquery [3] para detectar criação de symlinks ou mount points NTFS por usuários não privilegiados apontando para pastas internas do Defender, como C:\ProgramData\Microsoft\Windows Defender\Scans\RT.
    • O Osquery é uma ferramenta open-source desenvolvida pela Meta (Facebook) para monitoramento e análise de sistemas operacionais via SQL, permitindo consultas em tempo real sobre processos, arquivos, redes e eventos do SO.

Atualize definições do Defender regularmente via PowerShell: Update-MpSignature, e verifique status com Get-MpComputerStatus.

Recomendações Gerais

  • Considere bloqueio de aplicações vulneráveis via Microsoft Defender for Endpoint e auditoria de comportamentos de hardware (HWASLR/HWASYM).
  • Evite exclusões amplas de pastas, pois facilitam exploits.

Referências

[1] CVE-2026-33825 – Microsoft Defender Elevation of Privilege Vulnerability

[2] Microsoft Defender Tamper protection

[3] Osqueryhttps://osquery.io

Tags: , , , , , .

Categorias: Falhas, Microsoft, PoC, Vulnerabilidade, Windows, Windows Defender, Zero Day.

Adriano Cansian Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP - Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas "Computers & Security" e "International Journal of Forensic Computer Science", consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.