Zero Day en Microsoft Defender

Publicado hace 2 meses 17-04-2026

Un investigador de seguridad identificado bajo el alias Chaotic Eclipse ha publicado pruebas de concepto (PoC) funcionales para múltiples vulnerabilidades Zero-Day en Microsoft Defender, incluyendo exploits conocidos como BlueHammer y RedSun, que permiten escalar privilegios locales hasta NT AUTHORITY\SYSTEM en sistemas Windows 10, Windows 11 y Windows Server 2019, incluso totalmente parchados.

Esta vulnerabilidad cuenta con un score base de 7.8, categorizado como severidad Alta acorde al Common Vulnerability Scoring System versión 3.x de la renombrada institución FIRST.

El exploit RedSun, publicado el 15 de abril de 2026, abusa del comportamiento de Microsoft Defender al manejar archivos con etiquetas cloud, utilizando componentes legítimos de Windows como:

  • Cloud Files API
  • Volume Shadow Copy Service (VSS)
  • Oplocks (opportunistic locks)
  • NTFS junctions y reparse points

Permitiendo sobrescribir binarios del sistema y forzar su ejecución con privilegios SYSTEM. Este exploit utiliza la API de Cloud Files, escribe un EICAR (la ejecución de EICAR consiste en un archivo que prueba el funcionamiento de un antivirus/antimalware), dentro de un archivo. Una vez escrito el archivo con el EICAR, se emplea un oplock para ganar posesión de una shadow copy y utiliza una unión de directorios para redirigir la reescritura del archivo (con un nuevo contenido) hacia “C:\Windows\system32\TieringEngineService.exe”. Cuando la infraestructura de Cloud Files ejecuta el TieringEngineService.exe colocado por el atacante con privilegios de SYSTEM logra explotar la vulnerabilidad.
Un investigador menciona que algunos fabricantes de antivirus, dentro de los listados en VirusTotal, están detectando el exploit debido a que contiene un archivo EICAR embebido, sin embargo, se ha reducido el número de detecciones al ser encriptada la cadena de texto de referencia del EICAR dentro del ejecutable.
 

Versiones Afectadas

Productos Versiones Afectadas Versiones Corregidas
Microsoft Defender Antimalware Platform Previas al Build Number 4.18.26030.3011 Build Number 4.18.26030.3011 y posteriores

Recomendaciones

  • Aplicar de manera inmediata el parche oficial de Microsoft para CVE-2026-33825 en todos los entornos empresariales.
  • Actualizar Microsoft Defender Antimalware Platform   a una al Build Number 4.18.26030.3011 o superiores.
  • Monitorear el tráfico de red y los sistemas de detección en endpoints en busca de firmas asociadas a los repositorios GitHub de RedSun y BlueHammer.
  • Revisar de forma continua los registros de seguridad para detectar actividad anómala relacionada con procesos de Microsoft Defender.
  • Mantener controles de acceso estrictos y segmentar la red para limitar el impacto potencial de futuros exploits de ejecución remota de código (RCE).
  • Restringir los permisos de los usuarios locales al mínimo necesario para las operaciones.
  • Aplicar registro (logging) avanzado en sistemas Windows para detectar la creación anómala de procesos con privilegios SYSTEM.
  • Mantener vigilancia sobre actualizaciones de seguridad o avisos oficiales de Microsoft que aborden la vulnerabilidad BlueHammer.

Referencias

  1. Divya. (2026, abril 16). New PoC exploit published for Microsoft Defender 0-day flaw. GBHackers. Recuperado el 16 de abril de 2026, en: https://gbhackers.com/poc-microsoft-defender-0-day-flaw/
  2. Abrams, L. (2026, abril 16). New Microsoft Defender “RedSun” zero-day PoC grants SYSTEM privileges. BleepingComputer. Recuperado el 16 de abril de 2026, en: https://www.bleepingcomputer.com/news/microsoft/new-microsoft-defender-redsun-zero-day-poc-grants-system-privileges/
  3. Toulas, B. (2026, abril 6). Disgruntled researcher leaks “BlueHammer” Windows zero-day exploit. BleepingComputer. Recuperado el 6 de abril de 2026, en: https://www.bleepingcomputer.com/news/security/disgruntled-researcher-leaks-bluehammer-windows-zero-day-exploit/
  4. Ramesh, R., & Jayapaul, R. (2026, abril 7). BlueHammer: Inside the Windows zero-day that turns Defender against itself. Cyderes. Recuperado el 7 de abril de 2026, en: https://www.cyderes.com/howler-cell/windows-zero-day-bluehammer
  5. Yuceel, H. C. (2026, abril 16). BlueHammer & RedSun: Windows Defender CVE-2026-33825 zero-day vulnerability explained. Picus Security. Recuperado el 16 de abril de 2026, en: https://www.picussecurity.com/resource/blog/bluehammer-redsun-windows-defender-cve-2026-33825-zero-day-vulnerability-explained
  6. Kudelski Security Research Team. (2026, abril 7). BlueHammer Windows Defender LPE 0-day. Kudelski Security. Recuperado el 7 de abril de 2026, en: https://kudelskisecurity.com/research/bluehammer-windows-defender-lpe-0day

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más