La cazadora es advertencia que los actores de amenazas están explotando tres fallas de seguridad recientemente reveladas en Microsoft Defender para obtener privilegios elevados en sistemas comprometidos.
la actividad involucra la explotación de tres vulnerabilidades que tienen nombre en código Martillo azul (requiere iniciar sesión en GitHub), rojosoly Desdefendertodos los cuales fueron publicados como días cero por un investigador conocido como Chaotic Eclipse (también conocido como Nightmare-Eclipse) en respuesta al manejo por parte de Microsoft del proceso de divulgación de vulnerabilidades.
Si bien tanto BlueHammer como RedSun son fallas de escalada de privilegios locales (LPE) que afectan a Microsoft Defender, UnDefend se puede utilizar para desencadenar una condición de denegación de servicio (DoS) y bloquear eficazmente las actualizaciones de definiciones.
Microsoft tomó medidas para abordar BlueHammer como parte de sus actualizaciones del martes de parches lanzadas a principios de esta semana. La vulnerabilidad se está rastreando con el identificador CVE. CVE-2026-33825. Sin embargo, las otras fallas no tienen solución al momento de escribir este artículo.
En una serie de publicaciones compartidas en X, Huntress dijo que observó que las tres fallas se explotaban en la naturaleza, con BlueHammer siendo utilizado como arma desde el 10 de abril de 2026, seguido del uso de RedSun y UnDefend prueba de concepto (PoC) el 16 de abril.
«Estas invocaciones siguieron a los típicos comandos de enumeración: whoami /priv, cmdkey /list, net group y otros que indican la actividad práctica del actor de amenazas en el teclado», añadió.
El proveedor de ciberseguridad dijo que ha tomado medidas para aislar a la organización afectada para evitar una mayor explotación posterior. Cuando se le contactó para hacer comentarios, Microsoft confirmó que el exploit BlueHammer se había solucionado a través de CVE-2026-33825.
«Microsoft tiene el compromiso del cliente de investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para proteger a los clientes lo antes posible», dijo un portavoz de Microsoft. «También apoyamos divulgación coordinada de vulnerabilidades, una práctica industrial ampliamente adoptada que ayuda a garantizar que los problemas se investiguen y aborden cuidadosamente antes de su divulgación pública, respaldando tanto la protección del cliente como la comunidad de investigación de seguridad».
(La historia se actualizó después de la publicación para incluir una respuesta de Microsoft).
Fuente