⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um pesquisador conhecido como “Chaotic Eclipse” publicou uma exploração de prova de conceito para um segundo dia zero do Microsoft Defender, apelidado de “RedSun”, nas últimas duas semanas, protestando contra a forma como a empresa trabalha com pesquisadores de segurança cibernética.
Esta exploração é para uma falha de escalonamento de privilégios locais (LPE) que concede privilégios de SYSTEM no Windows 10, Windows 11 e Windows Server nos patches mais recentes do Patch Tuesday de abril, quando o Windows Defender está habilitado.
“Quando o Windows Defender percebe que um arquivo malicioso tem uma tag de nuvem, por qualquer motivo estúpido e hilário, o antivírus que deveria proteger decide que é uma boa ideia apenas reescrever o arquivo encontrado novamente em seu local original”, explica o pesquisador.
“O PoC abusa desse comportamento para sobrescrever arquivos do sistema e obter privilégios administrativos.”
Will Dormann, principal analista de vulnerabilidade da Tharros, confirmou ao BleepingComputer que a exploração do novo Microsoft Defender RedSun zero-day funciona e concede privilégios de SYSTEM no Windows 10, Windows 11 e Windows Server 2019 totalmente corrigidos e posteriores.
"Esta exploração usa a 'API Cloud Files', grava EICAR em um arquivo usando-a, usa um oplock para vencer uma corrida de cópia de sombra de volume e usa uma junção de diretório/ponto de nova análise para redirecionar a reescrita do arquivo (com novo conteúdo) para C:\Windows\system32\TieringEngineService.exe", escreveu Dormann em um tópico no Mastodon.
"Neste ponto, a infraestrutura de arquivos em nuvem executa o TieringEngineService.exe plantado pelo invasor (que é o próprio exploit RedSun.exe) como SYSTEM. Fim do jogo."
Exploração RedSun concedendo privilégios de SYSTEM em um Windows 11 totalmente corrigidoFonte: Dormann
Dormann diz que alguns fornecedores de antivírus no VirusTotal estão detectando a exploração [VirusTotal] porque o executável da exploração contém um EIRCAR incorporado (arquivo de teste de antivírus). No entanto, ele reduziu as detecções [VirusTotal] criptografando a string EICAR dentro do executável.
Na semana passada, esse pesquisador, conhecido como "Chaotic Eclipse", lançou uma exploração para um dia zero diferente do Microsoft Defender LPE, apelidado de "BlueHammer", que agora é rastreado como CVE-2026-33825. A Microsoft corrigiu a falha como parte das atualizações de segurança do Patch Tuesday deste mês.
O pesquisador diz que publicou ambos os PoCs de dia zero em protesto contra a forma como a Microsoft trabalha com pesquisadores de segurança cibernética que divulgam vulnerabilidades ao Microsoft Security Response Center (MSRC).
“Normalmente, eu passaria pelo processo de implorar para que eles consertassem um bug, mas, para resumir, eles me disseram pessoalmente que eles vão arruinar minha vida e eles arruinaram e não tenho certeza se fui o único que teve essa experiência horrível ou poucas pessoas tiveram, mas acho que a maioria simplesmente comeria e cortaria suas perdas, mas para mim, eles tiraram tudo”, alegou o pesquisador.
“Eles limparam o chão comigo e fizeram todos os jogos infantis que puderam. Foi tão ruim que em algum momento eu me perguntei se estava lidando com uma grande corporação ou com alguém que está apenas se divertindo me vendo sofrer, mas parece ser uma decisão coletiva.
O BleepingComputer contatou o pesquisador para obter mais detalhes sobre sua interação com o MSRC.
Ao entrar em contato com a Microsoft sobre esses supostos problemas, eles compartilharam a seguinte declaração.
“A Microsoft tem o compromisso do cliente de investigar problemas de segurança relatados e atualizar os dispositivos afetados para proteger os clientes o mais rápido possível”, disse um porta-voz da Microsoft ao BleepingComputer.
“Também apoiamos a divulgação coordenada de vulnerabilidades, uma prática amplamente adotada na indústria que ajuda a garantir que os problemas sejam cuidadosamente investigados e resolvidos antes da divulgação pública, apoiando tanto a proteção do cliente quanto a comunidade de pesquisa de segurança”.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
Esta exploração é para uma falha de escalonamento de privilégios locais (LPE) que concede privilégios de SYSTEM no Windows 10, Windows 11 e Windows Server nos patches mais recentes do Patch Tuesday de abril, quando o Windows Defender está habilitado.
“Quando o Windows Defender percebe que um arquivo malicioso tem uma tag de nuvem, por qualquer motivo estúpido e hilário, o antivírus que deveria proteger decide que é uma boa ideia apenas reescrever o arquivo encontrado novamente em seu local original”, explica o pesquisador.
“O PoC abusa desse comportamento para sobrescrever arquivos do sistema e obter privilégios administrativos.”
Will Dormann, principal analista de vulnerabilidade da Tharros, confirmou ao BleepingComputer que a exploração do novo Microsoft Defender RedSun zero-day funciona e concede privilégios de SYSTEM no Windows 10, Windows 11 e Windows Server 2019 totalmente corrigidos e posteriores.
"Esta exploração usa a 'API Cloud Files', grava EICAR em um arquivo usando-a, usa um oplock para vencer uma corrida de cópia de sombra de volume e usa uma junção de diretório/ponto de nova análise para redirecionar a reescrita do arquivo (com novo conteúdo) para C:\Windows\system32\TieringEngineService.exe", escreveu Dormann em um tópico no Mastodon.
"Neste ponto, a infraestrutura de arquivos em nuvem executa o TieringEngineService.exe plantado pelo invasor (que é o próprio exploit RedSun.exe) como SYSTEM. Fim do jogo."
Exploração RedSun concedendo privilégios de SYSTEM em um Windows 11 totalmente corrigidoFonte: Dormann
Dormann diz que alguns fornecedores de antivírus no VirusTotal estão detectando a exploração [VirusTotal] porque o executável da exploração contém um EIRCAR incorporado (arquivo de teste de antivírus). No entanto, ele reduziu as detecções [VirusTotal] criptografando a string EICAR dentro do executável.
Na semana passada, esse pesquisador, conhecido como "Chaotic Eclipse", lançou uma exploração para um dia zero diferente do Microsoft Defender LPE, apelidado de "BlueHammer", que agora é rastreado como CVE-2026-33825. A Microsoft corrigiu a falha como parte das atualizações de segurança do Patch Tuesday deste mês.
O pesquisador diz que publicou ambos os PoCs de dia zero em protesto contra a forma como a Microsoft trabalha com pesquisadores de segurança cibernética que divulgam vulnerabilidades ao Microsoft Security Response Center (MSRC).
“Normalmente, eu passaria pelo processo de implorar para que eles consertassem um bug, mas, para resumir, eles me disseram pessoalmente que eles vão arruinar minha vida e eles arruinaram e não tenho certeza se fui o único que teve essa experiência horrível ou poucas pessoas tiveram, mas acho que a maioria simplesmente comeria e cortaria suas perdas, mas para mim, eles tiraram tudo”, alegou o pesquisador.
“Eles limparam o chão comigo e fizeram todos os jogos infantis que puderam. Foi tão ruim que em algum momento eu me perguntei se estava lidando com uma grande corporação ou com alguém que está apenas se divertindo me vendo sofrer, mas parece ser uma decisão coletiva.
O BleepingComputer contatou o pesquisador para obter mais detalhes sobre sua interação com o MSRC.
Ao entrar em contato com a Microsoft sobre esses supostos problemas, eles compartilharam a seguinte declaração.
“A Microsoft tem o compromisso do cliente de investigar problemas de segurança relatados e atualizar os dispositivos afetados para proteger os clientes o mais rápido possível”, disse um porta-voz da Microsoft ao BleepingComputer.
“Também apoiamos a divulgação coordenada de vulnerabilidades, uma prática amplamente adotada na indústria que ajuda a garantir que os problemas sejam cuidadosamente investigados e resolvidos antes da divulgação pública, apoiando tanto a proteção do cliente quanto a comunidade de pesquisa de segurança”.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #o #novo #poc #de #dia #zero #“redsun” #do #microsoft #defender #concede #privilégios #de #system
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário