Notebookcheck Logo

A CISA dá aos administradores do Windows até 3 de junho para corrigir as falhas do Nightmare Eclipse Defender

Vista aérea da Microsoft Redmond.
ⓘ Microsoft.com
Vista aérea da Microsoft Redmond.
Faltam 48 horas para o prazo final de 3 de junho da CISA para os dois zero-days do Nightmare Eclipse Defender. O YellowKey, o GreenPlasma e o MiniPlasma permanecem sem correção, sendo que o GreenPlasma e o MiniPlasma não possuem atribuição de CVE.
Business Windows Microsoft Hack / Data Breach Security

As agências federais têm até 3 de junho para aplicar correções para duas vulnerabilidades do Microsoft Defender ativamente exploradas e vinculadas à campanha de divulgação do Nightmare Eclipse. Faltando 48 horas para o fim desse prazo, três outros zero-days do Windows do mesmo pesquisador permanecem sem correção, e 9 de junho é a próxima oportunidade que a Microsoft tem para resolvê-los.

A saga começou no início de abril, quando o Nightmare Eclipse divulgou o BlueHammer (CVE-2026-33825), corrigido na Patch Tuesday de 14 de abril, com o prazo da CISA passando no início de maio. A contagem regressiva atual é ancorada por uma ação separada da CISA em 20 de maio, adicionando o RedSun (CVE-2026-41091) e UnDefend (CVE-2026-45498) ao catálogo de Vulnerabilidades Exploradas Conhecidas depois que a Huntress confirmou a exploração ativa em ataques reais. A CISA exigiu a correção de acordo com a Binding Operational Directive 22-01 com um prazo de 14 dias.

O que as falhas corrigidas fazem

A RedSun tem como alvo o mecanismo de classificação do Defender para aumentar os privilégios para SYSTEM. O UnDefend aciona uma condição de negação de serviço na Plataforma Antimalware, deixando o Defender totalmente cego e criando uma janela para a implantação de ransomware ou movimento lateral sem acionar alertas.

Ambos os problemas foram corrigidos no Malware Protection Engine 1.1.26040.8 e na Antimalware Platform 4.18.26040.7. Verifique esses números de versão nas configurações de segurança do Windows antes de 3 de junho.

Três falhas sem correção

YellowKey (CVE-2026-45585) contorna o BitLocker em sistemas somente com TPM por meio do Windows Recovery Environment, permitindo o acesso físico para desbloquear unidades criptografadas sem uma chave de recuperação. GreenPlasma é uma falha de escalonamento de privilégios CTFMON sem CVE e sem correção. O MiniPlasma re-explora o CVE-2020-17103 no cldflt.sys, uma falha de 2020 cuja correção estava incompleta ou regrediu silenciosamente.

ThreatLocker e Will Dormann confirmaram que ele ainda produz um shell SYSTEM no Windows 11 totalmente corrigido e no Windows Server 2022 e 2025. O Windows 10 não foi afetado, o que é importante para as equipes que gerenciam frotas mistas.

Para o YellowKey, execute reagentc /disable, monte o hive de registro do WinRE offline, remova autofstx.exe do BootExecute em ControlSet001ControlSession Manager e, em seguida, execute reagentc /enable para confirmar a alteração. Faça a transição do BitLocker de somente TPM para TPM+PIN sempre que possível.

Nightmare Eclipse sinalizou uma versão para 14 de julho, visando a Patch Tuesday desse mês.

Google LogoAdd as a preferred source on Google
Mail Logo

Artigos Relacionados

Show more articles
> Análises e revisões de portáteis e celulares > Notícias > Arquivo de notícias 2026 06 > A CISA dá aos administradores do Windows até 3 de junho para corrigir as falhas do Nightmare Eclipse Defender
Darryl Linington, 2026-06- 1 (Update: 2026-06- 1)