A vulnerabilidade BlueHammer no Windows Defender continua relevante apesar da atualização de abril.

A Agência de Segurança Cibernética dos EUA (CISA) emitiu um alerta sobre a exploração ativa da vulnerabilidade BlueHammer no Windows Defender por operadores de ransomware. De acordo com o Tom’s Hardware, a falha, que concede aos invasores controle total sobre um computador com privilégios de SISTEMA, está sendo explorada com sucesso em ataques, apesar da Microsoft ter lançado uma correção para a vulnerabilidade em 14 de abril.

Fonte da imagem: Kandinsky

A vulnerabilidade, que explora uma condição de corrida, foi inicialmente divulgada pelo infame entusiasta apelidado de Nightmare Eclipse (também conhecido como Chaotic Eclipse). Ativado por um pequeno script, o código malicioso permite que o ransomware criptografe não apenas arquivos de dados comuns, mas também componentes do sistema operacional e processos de inicialização, tornando os dispositivos infectados completamente inoperáveis.

Embora a correção lançada esteja sendo distribuída pelo mecanismo de atualização padrão, os dados indicam problemas com sua implementação. De acordo com um relatório da empresa de cibersegurança Absolute, o tempo médio para instalar patches críticos para Windows 11 e 10 atualmente é de 127 dias, o dobro do ano passado. Mesmo no segmento corporativo, esse número é de 76 dias, deixando pelo menos metade da frota de dispositivos vulnerável por vários meses.

A situação é agravada pela significativa parcela de computadores que executam o Windows 10, estimada entre 15% (de acordo com a PassMark) e 26% (de acordo com a StatCounter). Embora o programa de Atualizações de Segurança Estendidas (ESU) para este sistema operacional tenha sido prorrogado até 14 de outubro de 2027, a falta de conhecimento dos usuários os impede de atualizar para versões seguras do sistema operacional. Nesse contexto, a Nightmare Eclipse, quebrando o silêncio pós-conflito, prometeu publicar novas descobertas em julho.