Ciberdelincuentes están explotando de forma activa tres vulnerabilidades zero‑day en Microsoft Defender, identificadas como BlueHammer, RedSun y UnDefend, lo que incrementa de forma significativa el riesgo para sistemas Windows tanto corporativos como domésticos. De acuerdo con la empresa de seguridad Huntress, los exploits ya se utilizan en hosts comprometidos para lograr escalada de privilegios y degradar o inutilizar los mecanismos de protección integrados en Windows.
Zero‑day en Microsoft Defender: origen, tipo de fallos y superficie de ataque
Las tres vulnerabilidades fueron divulgadas públicamente por el investigador conocido como Chaotic Eclipse (Nightmare‑Eclipse) como fallos zero‑day, es decir, sin existir todavía parches disponibles en el momento de su publicación. Según el propio investigador, la decisión de hacer públicos los exploits responde a desacuerdos en torno al proceso de coordinated disclosure y la interacción con el fabricante, un debate recurrente en la comunidad de ciberseguridad.
BlueHammer y RedSun pertenecen a la categoría de escalada local de privilegios (LPE). En la práctica, esto significa que un atacante que ya haya obtenido acceso limitado a un equipo —por ejemplo, mediante phishing, credenciales robadas o explotación de una aplicación web— puede aprovechar estos fallos para elevar sus permisos hasta nivel de administrador o cuenta de sistema. Con ello, adquiere control total sobre la máquina, pudiendo instalar backdoors, desactivar medidas de seguridad o desplegar ransomware de forma silenciosa.
La tercera vulnerabilidad, UnDefend, se orienta a la denegación de servicio (DoS) de componentes de Microsoft Defender. Al provocar fallos y bloquear la actualización de firmas y módulos de protección, el atacante crea una «zona ciega» donde la actividad maliciosa puede pasar inadvertida durante más tiempo, incluso aunque el antivirus esté técnicamente instalado y habilitado.
BlueHammer (CVE‑2026‑33825): explotación confirmada y parche disponible
Huntress indica que la explotación de BlueHammer se observa en ataques reales desde el 10 de abril de 2026. Esta vulnerabilidad ha recibido el identificador oficial CVE‑2026‑33825 y ya ha sido corregida por Microsoft dentro del ciclo de actualizaciones de seguridad Patch Tuesday publicado esta semana. No obstante, el riesgo persiste: muchas organizaciones retrasan el despliegue de parches por necesidades de prueba, ventanas de mantenimiento limitadas o políticas de actualización obsoletas, lo que deja un margen de maniobra considerable para los atacantes.
Comandos clave tras la intrusión: señales tempranas de explotación
Tras la explotación de estas vulnerabilidades en Microsoft Defender, Huntress ha observado patrones consistentes de post‑explotación con comandos como whoami /priv, cmdkey /list y net group, entre otros. whoami /priv permite al atacante comprobar los privilegios obtenidos; cmdkey /list se utiliza para localizar credenciales almacenadas en el sistema; y net group ayuda a mapear grupos y roles en el dominio. Este conjunto de acciones es típico de operadores que ya han logrado acceso inicial y se centran en consolidar su presencia, moverse lateralmente en la red y preparar el robo de datos o el cifrado masivo de sistemas.
RedSun y UnDefend: exploits públicos sin parche oficial de Microsoft
En el momento de redactar este análisis, RedSun y UnDefend no disponen de correcciones oficiales por parte de Microsoft. Huntress ha detectado el uso de exploits proof‑of‑concept (PoC) para ambas vulnerabilidades desde el 16 de abril de 2026, lo que muestra la rapidez con la que código de investigación se convierte en herramienta operativa para campañas reales. RedSun, al igual que BlueHammer, permite escalada local de privilegios en Microsoft Defender, amplificando cualquier brecha inicial obtenida por técnicas como phishing o explotación de servicios expuestos.
Impacto estratégico: cuando la diana es la propia solución de seguridad
Microsoft Defender está presente en la gran mayoría de equipos Windows y opera con privilegios elevados. Por ello, cualquier vulnerabilidad en este tipo de soluciones de seguridad se convierte en un objetivo de alto valor. Al explotarla, un atacante no solo compromete una máquina concreta, sino que también puede interferir con mecanismos de monitorización, políticas de protección y procesos de actualización. Incidentes anteriores vinculados a herramientas de administración remota o plataformas de actualización han demostrado que, cuando la infraestructura «de confianza» se ve comprometida, el alcance del ataque y la velocidad de propagación aumentan de forma notable, tal y como recogen informes de organismos como ENISA o estudios sectoriales como el Verizon DBIR.
Medidas de mitigación: cómo reducir el riesgo de BlueHammer, RedSun y UnDefend
Las organizaciones que utilizan Microsoft Defender deberían priorizar medidas concretas para mitigar el riesgo asociado a estas vulnerabilidades en Windows:
- Aplicar de inmediato los parches disponibles. Instalar las últimas actualizaciones de seguridad de Windows que corrigen CVE‑2026‑33825 (BlueHammer) y verificar su correcta implementación mediante herramientas de gestión de parches o escáneres de vulnerabilidades.
- Reforzar la monitorización y los indicadores de compromiso. Configurar alertas ante uso inusual de comandos como
whoami /priv,cmdkey /listynet group, así como frente a reinicios inesperados del servicio de Defender, errores recurrentes de actualización de firmas o cambios súbitos en políticas antivirus. - Aplicar de forma estricta el principio de mínimo privilegio. Reducir al máximo los permisos de cuentas locales y de servicio, y revisar periódicamente las pertenencias a grupos administrativos para que una escalada de privilegios tenga un impacto limitado.
- Adoptar capas adicionales de protección. Complementar Microsoft Defender con soluciones EDR, plataformas SIEM y analítica de comportamiento, capaces de detectar actividad maliciosa incluso cuando el antivirus integrado se ve degradado o deshabilitado.
- Disponer de un plan de respuesta a incidentes probado. Definir procedimientos claros para aislar rápidamente hosts sospechosos, segmentar la red, recopilar evidencias y restaurar servicios, reduciendo así el tiempo de permanencia del atacante en la infraestructura.
La explotación activa de BlueHammer, RedSun y UnDefend subraya hasta qué punto las vulnerabilidades en soluciones de seguridad pueden convertirse en un vector crítico para comprometer entornos Windows. Priorizar la gestión de parches, mejorar la visibilidad sobre la actividad en los endpoints y madurar las capacidades de respuesta a incidentes son pasos esenciales para reducir la superficie de ataque. Mantenerse informado, revisar de forma continua la postura de seguridad y formar a los equipos técnicos permitirá a las organizaciones reaccionar con rapidez ante nuevos zero‑day en Microsoft Defender y en otras herramientas fundamentales de su infraestructura.
