Uma vulnerabilidade do Microsoft Defender, rastreada como BlueHammer e CVE-2026-33825, está sendo explorada em ataques de ransomware, segundo a agência de cibersegurança CISA (Agência de Cibersegurança e Segurança de Infraestrutura).
BlueHammer é um dos diversos exploits divulgados nos últimos meses por um pesquisador insatisfeito, conhecido como Chaotic Eclipse e Nightmare Eclipse. O pesquisador está descontente com a forma como a Microsoft lida com relatórios de vulnerabilidade, razão pela qual diversos exploits foram tornados públicos antes que a gigante de tecnologia tivesse a chance de lançar correções.
O CVE-2026-33825 foi divulgado publicamente em 2 de abril, e a Microsoft lançou correções em 14 de abril, quando informou aos clientes que um invasor autenticado pode explorar a falha de segurança para escalonamento de privilégios.
Embora o comunicado da Microsoft — atualizado pela última vez em 30 de abril — reconheça que a exploração da falha é 'mais provável', ele ainda não confirma a exploração em ambiente real.
A empresa de cibersegurança Huntress identificou a vulnerabilidade sendo explorada em ataques como um dia zero antes de a Microsoft lançar as correções.
A CISA incluiu a BlueHammer em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV, na sigla em inglês) em 22 de abril, e a agência agora atualizou a entrada para especificar que a fragilidade foi utilizada em campanhas de ransomware.
Não está claro qual grupo de ransomware explorou o CVE-2026-33825; não parecem haver relatos recentes que descrevam sua exploração.
A CISA não notifica os usuários quando uma vulnerabilidade incluída em sua lista KEV passa a ser explorada por grupos de ransomware, o que tem levantado questionamentos sobre a utilidade prática dessas atualizações para os defensores.
A empresa de inteligência de ameaças GreyNoise lançou uma ferramenta gratuita no início deste ano para ajudar a acompanhar essas atualizações do catálogo KEV.