nulltropic

NULLTROPIC

Guerra de Zero-Days: Microsoft Recua, mas Julho Promete Mais Exploits Críticos

Uma saga que começou com uma conta deletada no MSRC, seis zero-days publicados em seis semanas e uma ameaça de “explosão óssea” para julho de 2026 agora termina — por enquanto — com a Microsoft recuando publicamente. Mas o estrago já está feito, e o próximo capítulo pode ser ainda pior.

O Estopim: Uma Conta Deletada e Bounties Perdidos

Tudo começou quando um pesquisador operando sob o pseudônimo Nightmare Eclipse (também conhecido como Chaotic Eclipse ou Dead Eclipse) alegou que a Microsoft havia deletado sua conta no MSRC (Microsoft Security Response Center), retido pagamentos de bug bounty e removido seu nome de ao menos um advisory de segurança. Sem canal de divulgação coordenada, o pesquisador fez o que a indústria temia: começou a publicar exploits funcionais no GitHub.

“I was not bluffing Microsoft, and I’m doing it again.” — Chaotic Eclipse

O Arsenal: Seis Zero-Days em Seis Semanas

Desde o início de abril de 2026, Nightmare Eclipse publicou seis vulnerabilidades de dia zero funcionais, todas sem CVE, sem patch e sem divulgação coordenada:

  • BlueHammer (3 abr) — LPE que transforma o Windows Defender contra si mesmo, abusando do Volume Shadow Copy, Cloud Files API e oplocks para escalar de usuário comum para NT AUTHORITY\SYSTEM. O exploit congela o Defender durante uma varredura, acessa os hives SAM, SYSTEM e SECURITY do snapshot e decripta hashes NTLM.
  • RedSun — Segundo LPE, já confirmado como explorado ativamente em ataques reais.
  • UnDefend — Terceiro LPE, também com exploração ativa confirmada pela Huntress.
  • YellowKey (CVE-2026-45585) — Bypass completo do BitLocker via Windows Recovery Environment (WinRE). O exploit coloca arquivos FsTx em um pendrive ou partição EFI, reinicia no WinRE e segura a tecla CTRL para abrir um shell com acesso irrestrito ao volume criptografado. A Microsoft lançou uma mitigaçào em 20 de maio.
  • GreenPlasma — LPE via CTFMON que permite Arbitrary Section Creation, válido no Windows 11, Server 2022 e Server 2026.
  • MiniPlasma — LPE que concede SYSTEM em sistemas totalmente atualizados.

A Reação da Microsoft: Do “Nunca Justificável” ao Recuo

No dia 27 de maio, a Microsoft publicou um post no blog do MSRC condenando as divulgações como “nunca justificáveis” e invocou a Digital Crimes Unit com linguagem amplamente interpretada como ameaça de processo criminal contra o pesquisador.

A reação da comunidade de segurança foi imediata e feroz. Katie Moussouris, criadora do programa de bug bounty original da Microsoft, chamou a linguagem de “vagamente ameaçadora”. Kevin Beaumont classificou a situação como um “dumpster fire de fabricação da própria Microsoft”. Dustin Childs (ZDI), ex-funcionário da Microsoft com sete anos de casa, disse publicamente que a Microsoft “poderia ter lidado melhor com isso”.

Pressionada, a Microsoft emitiu um novo comunicado — desta vez no X (Twitter), não no blog oficial — afirmando que “não tem intenção de tomar medidas contra indivíduos que conduzem ou publicam suas pesquisas de segurança”. O termo “responsible disclosure”, que aparecia quatro vezes no post original, foi silenciosamente removido e substituído por “Coordinated Vulnerability Disclosure” — o termo que a própria Microsoft adotou em 2010 justamente para evitar a conotação pejorativa.

O Próximo Golpe: Julho de 2026

Apesar do recuo retórico, a situação está longe de resolvida. Nightmare Eclipse anunciou que uma nova vulnerabilidade de Secure Boot será lançada em junho, capaz de “bypass completo do BitLocker” e potencialmente utilizável para comprometer máquinas virtuais confidenciais. E prometeu um “bone shattering drop” (drop que quebra ossos) para 14 de julho de 2026.

Três dos seis zero-days (RedSun, UnDefend e BlueHammer) já foram corrigidos pela Microsoft em patches de emergência de 21 de maio (CVE-2026-41091 e CVE-2026-45498), depois que a Huntress confirmou exploração ativa. Os outros três — YellowKey, GreenPlasma e MiniPlasma — continuam sem patch.

Análise Técnica: BlueHammer — O Mais Sofisticado

O BlueHammer merece atenção especial por sua engenhosidade. Diferente de exploits tradicionais que dependem de corrupção de memória ou bugs no kernel, o BlueHammer encadeia funcionalidades legítimas do Windows:

  1. Verifica se há uma atualização de assinatura do Defender pendente
  2. Baixa e extrai o pacote de atualização legítimo da Microsoft
  3. Usa chamadas RPC falsificadas do Defender com NTFS junctions para redirecionar o caminho de atualização
  4. Ativa uma varredura do Defender para forçar a criação de um Volume Shadow Copy
  5. Registra o diretório atual como Cloud Files sync root e congela o Defender com oplocks
  6. Acessa os hives de registro (SAM, SYSTEM, SECURITY) do snapshot montado
  7. Recupera a boot key, decripta hashes NTLM, altera a senha do Administrator e spawna um shell SYSTEM
  8. Restaura o hash NTLM original para não deixar rastros

O detector do Defender já identifica o binário original como Exploit:Win32/DfndrPEBluHmr.BB, mas modificações na implementação bypassam a detecção.

Lições para Defensores

  • BitLocker com TPM+PIN (não apenas TPM) mitiga o YellowKey. Ative o PIN de pré-inicialização via Manage-bde -protectors -add C: -TPMAndPIN.
  • Monitorar uso de VSS inesperado por processos não autorizados pode detectar variantes do BlueHammer.
  • Windows Defender não é garantia contra exploits que o usam como vetor. Considere camadas adicionais de EDR.
  • GitHub e GitLab banning não param nada — Nightmare Eclipse já migrou para um blog pessoal e o código continua circulando.
  • Prepare-se para 14 de julho — a promessa de um novo drop sugere que esta saga está longe do fim.

Bônus: A Crise do NVD — 27 Mil Vulnerabilidades sem Análise

Enquanto a Microsoft lida com sua crise de relacionamento com pesquisadores, o National Vulnerability Database (NVD) do NIST enfrenta a sua própria: um relatório da inspetoria geral do Departamento de Comércio revelou que o backlog do NVD cresceu de 13.000 para mais de 27.000 vulnerabilidades não processadas entre 2024 e 2025. O NIST e a CISA duplicaram trabalho em pelo menos 21.000 vulnerabilidades, contratando o mesmo fornecedor para tarefas idênticas e desperdiçando cerca de US$ 200.000. Mais grave: as pontuações de severidade do NIST só coincidem com avaliadores independentes em 12% dos casos. Para times de segurança que dependem do NVD para priorizar remediações, o banco de dados está se tornando um guia não confiável.

Conclusão

A saga Nightmare Eclipse expõe uma ferida aberta na indústria: quando o principal canal de divulgação de vulnerabilidades de uma big tech falha com um pesquisador, e a empresa responde com ameaças legais em vez de diálogo, o resultado são zero-days na natureza, exploits em ataques reais e uma comunidade unida contra o próprio fornecedor. A Microsoft recuou, mas o dano à confiança — e os sistemas sem patch — permanecem.

Pesquisa e análise: N00TROP1C — NULLTROPIC, 2026.

Fontes: Recorded Future Cyber Daily, The Record, The Register, The Hacker News, Cyderes Howler Cell, Barracuda Threat Research, BleepingComputer, CyberScoop, NIST OIG Report.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *