Tres vulnerabilidades Zero-Days en Defender han sido explotadas desde el 10 de
abril de 2026, lo que permite escalamiento de privilegios y ataques de
denegación de servicio (DoS), obligando al aislamiento de los sistemas
afectados.
Huntress advierte
que ciberdelincuentes están explotando tres fallos de seguridad recientemente
revelados en Microsoft Defender para obtener privilegios elevados en sistemas
comprometidos. Esta actividad implica la explotación de tres vulnerabilidades
con nombre en clave
BlueHammer, RedSun
y
UnDefend, todas ellas publicadas como vulnerabilidades de día cero por un
investigador conocido como Chaotic Eclipse (también conocido como
Nightmare-Eclipse) en respuesta a la (mala) gestión de Microsoft en el proceso
de divulgación de vulnerabilidades.
Si bien BlueHammer y RedSun son vulnerabilidades de
escalamiento de privilegios locales (LPE) que afectan a Microsoft
Defender, UnDefend puede utilizarse para provocar una denegación de servicio
(DoS) y bloquear las actualizaciones de definiciones.
Microsoft abordó BlueHammer como parte de las
actualizaciones de Patch Tuesday de esta semana, pero las otras vulnerabilidades aún no cuentan con una
solución. La vulnerabilidad se está rastreando con el identificador
CVE-2026-33825.
En una serie de publicaciones compartidas en X, Huntress afirmó haber
observado la explotación de las tres vulnerabilidades en la práctica.
BlueHammer se ha estado utilizando como arma desde el 10 de abril de 2026,
seguido del uso de exploits de prueba de concepto (PoC) de RedSun y UnDefend
el 16 de abril.
«Estas invocaciones se produjeron tras el uso de comandos de enumeración
típicos: whoami /priv, cmdkey /list, net group y otros que indican actividad
de un atacante mediante el teclado», añadió.
El proveedor de ciberseguridad afirmó haber tomado medidas para aislar a la
organización afectada y prevenir futuras explotaciones.
Fuente:
THN