Vulnerabilidad BlueHammer de Windows es explotada por bandas de ransomware ~ Segu-Info

CISA confirmó que grupos de ransomware han comenzado a explotar una
vulnerabilidad de escalamiento de privilegios de alta gravedad en Microsoft
Defender, la cual ya se había utilizado en ataques de día cero.

La vulnerabilidad, denominada
BlueHammer
(CVE-2026-33825), fue filtrada a principios de abril por un investigador de seguridad
conocido como «Nightmare Eclipse», junto con un código de prueba de
concepto para su explotación, en protesta por la forma en que el Centro de
Respuesta de Seguridad de Microsoft (MSRC) gestiona el proceso de divulgación.

«La insuficiente granularidad del control de acceso en Microsoft Defender
permite que un atacante autorizado eleve sus privilegios localmente»
, explica Microsoft en un aviso de seguridad.

Will Dormann, analista principal de vulnerabilidades en Tharros, declaró que,
si bien la vulnerabilidad no es fácil de explotar, permite a los atacantes
locales acceder a la base de datos del Administrador de Cuentas de Seguridad
(SAM), que contiene los hashes de las contraseñas de las cuentas locales.

Con este acceso, pueden escalar a privilegios de SYSTEM y potencialmente tomar
el control total del sistema objetivo.
«En ese momento, [los atacantes] básicamente controlan el sistema y pueden
hacer cosas como generar una shell con privilegios de SYSTEM»
, dijo Dormann.

Microsoft
corrigió la vulnerabilidad el 14 de abril

como parte de la actualización de seguridad de abril de 2026. Sin embargo,
días después, investigadores de seguridad de Huntress Labs revelaron que
ciberdelincuentes la habían estado explotando como una vulnerabilidad de día
cero en ataques que mostraban evidencia de actividad directa del atacante.

Durante los últimos meses, Nightmare Eclipse ha revelado múltiples exploits de
día cero para Windows, incluyendo las vulnerabilidades
BlueHammer,
MiniPlasma,
RedSun,
UnDefend, YellowKey,
RoguePlanet,
GreenPlasma. Algunas de estas vulnerabilidades afectan a Microsoft Defender, mientras
que otras tienen como objetivo BitLocker y componentes de Windows.

Microsoft corrigió las vulnerabilidades de seguridad GreenPlasma, MiniPlasma y
YellowKey hace tres semanas como parte de las actualizaciones de seguridad de junio de 2026.

La CISA añadió la vulnerabilidad BlueHammer a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 22 de abril, ordenando que se actualizaran los dispositivos Windows para protegerse contra los
ataques en curso de la vulnerabilidad CVE-2026-33825 en un plazo de dos
semanas, hasta el 7 de mayo.

Si bien Microsoft aún no ha identificado esta vulnerabilidad como explotada en
ataques, la CISA también la ha señalado como explotada en campañas de
ransomware en una actualización del Catálogo KEV publicada el lunes.

Fuente: BC


Ver fuente

Related Post