Huntress advierte que los actores de amenazas están explotando tres fallas de seguridad recientemente reveladas en Microsoft Defender para obtener privilegios elevados en sistemas comprometidos.
La actividad implica la explotación de tres vulnerabilidades con nombre en código BlueHammer (requiere inicio de sesión en GitHub), RedSun y UnDefend, todas las cuales fueron lanzadas como día cero por un investigador conocido como Chaotic Eclipse (también conocido como Nightmare-Eclipse) en respuesta al manejo de Microsoft del proceso de divulgación de vulnerabilidades.
Si bien tanto BlueHammer como RedSun son fallas de escalada de privilegios locales (LPE) que afectan a Microsoft Defender, UnDefend se puede utilizar para desencadenar una condición de denegación de servicio (DoS) y bloquear eficazmente las actualizaciones de definiciones.
Microsoft tomó medidas para abordar BlueHammer como parte de sus actualizaciones del martes de parches lanzadas a principios de esta semana. La vulnerabilidad se rastrea con el identificador CVE CVE-2026-33825. Sin embargo, las otras fallas no tienen solución al momento de escribir este artículo.
En una serie de publicaciones compartidas en X, Huntress dijo que observó que las tres fallas se explotaban en la naturaleza, con BlueHammer siendo utilizado como arma desde el 10 de abril de 2026, seguido del uso de RedSun y UnDefend prueba de concepto (PoC) el 16 de abril.
“Estas invocaciones siguieron a los típicos comandos de enumeración: whoami /priv, cmdkey /list, net group y otros que indican la actividad práctica del actor de amenazas en el teclado”, añadió.
El proveedor de ciberseguridad dijo que ha tomado medidas para aislar a la organización afectada para evitar una mayor explotación posterior. The Hacker News se comunicó con Microsoft para hacer comentarios y actualizaremos la historia si recibimos una respuesta.
