Tres vulnerabilidades Zero-Days en Defender han sido explotadas desde el 10 de abril de 2026, lo que permite escalamiento de privilegios y ataques de denegación de servicio (DoS), obligando al aislamiento de los sistemas afectados.
Huntress advierte que ciberdelincuentes están explotando tres fallos de seguridad recientemente revelados en Microsoft Defender para obtener privilegios elevados en sistemas comprometidos. Esta actividad implica la explotación de tres vulnerabilidades con nombre en clave BlueHammer, RedSun y UnDefend, todas ellas publicadas como vulnerabilidades de día cero por un investigador conocido como Chaotic Eclipse (también conocido como Nightmare-Eclipse) en respuesta a la (mala) gestión de Microsoft en el proceso de divulgación de vulnerabilidades.
Si bien BlueHammer y RedSun son vulnerabilidades de escalamiento de privilegios locales (LPE) que afectan a Microsoft Defender, UnDefend puede utilizarse para provocar una denegación de servicio (DoS) y bloquear las actualizaciones de definiciones.
Microsoft abordó BlueHammer como parte de las actualizaciones de Patch Tuesday de esta semana, pero las otras vulnerabilidades aún no cuentan con una solución. La vulnerabilidad se está rastreando con el identificador CVE-2026-33825.
En una serie de publicaciones compartidas en X, Huntress afirmó haber observado la explotación de las tres vulnerabilidades en la práctica. BlueHammer se ha estado utilizando como arma desde el 10 de abril de 2026, seguido del uso de exploits de prueba de concepto (PoC) de RedSun y UnDefend el 16 de abril.
«Estas invocaciones se produjeron tras el uso de comandos de enumeración típicos: whoami /priv, cmdkey /list, net group y otros que indican actividad de un atacante mediante el teclado», añadió.
El proveedor de ciberseguridad afirmó haber tomado medidas para aislar a la organización afectada y prevenir futuras explotaciones.
Fuente y redacción: segu-info.com.ar