Vulnerabilidades de Microsoft Defender: Explotación activa de RedSun y UnDefend

Crisis de Seguridad en Microsoft Defender: La Amenaza Dual de RedSun y UnDefend

El panorama de la ciberseguridad en abril de 2026 ha sido sacudido por una serie de revelaciones críticas que ponen en entredicho la integridad de uno de los pilares de defensa más extendidos en el mundo empresarial. La Agencia Nacional de Ciberseguridad de Italia (CSIRT-ITA), en conjunto con firmas de respuesta a incidentes de primer nivel, ha emitido una alerta de máxima urgencia respecto a la explotación activa de nuevas vulnerabilidades de Microsoft Defender. Aunque el parche para el fallo conocido como “BlueHammer” (CVE-2026-33825) fue desplegado a principios de mes, dos vulnerabilidades adicionales, denominadas RedSun y UnDefend, permanecen sin corrección oficial, permitiendo a los atacantes convertir la herramienta de protección en un vector de compromiso total.

Este escenario representa una pesadilla para los administradores de sistemas: un “zero-day” doble que no solo permite la escalada de privilegios al nivel más alto del sistema operativo (SYSTEM), sino que también tiene la capacidad de “cegar” a la plataforma, impidiendo que reciba actualizaciones de firmas que podrían detectar el ataque en curso. A continuación, desglosamos la anatomía técnica de estos exploits y por qué la combinación de ambos está redefiniendo las tácticas de los grupos de amenazas avanzadas en la actualidad.

RedSun: El Abuso de los Atributos de Nube para la Escalada de Privilegios

La vulnerabilidad RedSun es, técnicamente, una falla de escalada de privilegios locales (LPE) que reside en la lógica de manejo de archivos dentro del motor de protección contra malware (MpSvc.dll). A diferencia de los exploits tradicionales que buscan corromper la memoria del kernel, RedSun aprovecha una debilidad en el diseño de la API de Windows Cloud Files, la misma infraestructura que sustenta servicios como OneDrive y Dropbox.

Mecánica del Exploit en MpSvc.dll

El núcleo del problema radica en cómo Microsoft Defender procesa los archivos que contienen metadatos de “nube”. Cuando el motor de escaneo identifica un archivo marcado con una etiqueta de nube (Cloud Tag) que contiene una cadena de prueba de malware (como el estándar EICAR), el software inicia un proceso de restauración automática. El investigador conocido como “Chaotic Eclipse”, quien liberó el código de prueba de concepto (PoC), descubrió que Defender intenta “reescribir” o restaurar el archivo detectado en su ubicación original sin validar adecuadamente si la ruta de destino ha sido manipulada mediante puntos de reparse o uniones de directorio (NTFS Junctions).

Un atacante con privilegios mínimos puede ejecutar el siguiente flujo para comprometer el sistema:

• Registro de un Sync Root: El atacante utiliza la función CfRegisterSyncRoot() para registrar un origen de sincronización falso.
• Creación de un Marcador de Posición (Placeholder): Se genera un archivo que parece estar respaldado por la nube pero que contiene una firma maliciosa.
• Manipulación de Rutas: Mediante el uso de uniones de directorio, el atacante redirige la ruta donde Defender cree que está restaurando el archivo hacia una ubicación protegida, como C:\Windows\System32\.
• Ejecución como SYSTEM: Al “restaurar” el archivo, Defender (que corre con privilegios de SYSTEM) sobrescribe un binario legítimo del sistema, como TieringEngineService.exe. Posteriormente, la infraestructura de archivos en la nube ejecuta este binario suplantado, otorgando al atacante una shell con control total sobre el endpoint.

Lo más alarmante de RedSun es su fiabilidad. Reportes de analistas senior indican que el exploit funciona con un éxito cercano al 100% en versiones actualizadas de Windows 10, 11 y Windows Server 2019/2022, incluso tras haber aplicado los parches de seguridad de abril de 2026.

UnDefend: El Silenciador del Sistema de Inmunidad Digital

Mientras que RedSun proporciona el músculo para la intrusión, UnDefend actúa como el velo que oculta la actividad maliciosa. Se clasifica como una vulnerabilidad de Denegación de Servicio (DoS) dirigida específicamente al mecanismo de actualización de firmas y al motor de inteligencia de amenazas de Microsoft Defender.

Bloqueo de Actualizaciones y Persistencia

El diseño de UnDefend es brillantemente simple y devastador. Utiliza funciones nativas del sistema operativo para bloquear los archivos de definición de antivirus antes de que el motor de Defender pueda acceder a ellos. El exploit opera principalmente en dos modos:

1. Modo Pasivo: Monitorea el directorio de preparación de actualizaciones (Definition Updates) mediante ReadDirectoryChangesW. Al detectar un nuevo intento de descarga de firmas, el exploit bloquea el archivo con un acceso de escritura compartido pero sin permiso de lectura. Esto provoca que el proceso MsMpEng.exe reciba un error de violación de intercambio (STATUS_SHARING_VIOLATION), dejando al antivirus con firmas obsoletas.
2. Modo Agresivo: Este modo apunta a las copias de seguridad de las definiciones. Al bloquear los archivos de respaldo inmediatamente después del inicio del sistema, impide que Defender realice un “rollback” a una base de datos de firmas conocida y segura si la actual falla.

La combinación de estas técnicas significa que las nuevas vulnerabilidades de Microsoft Defender no pueden ser mitigadas mediante el despliegue rápido de nuevas firmas, ya que el propio canal de distribución está comprometido a nivel local por un usuario sin privilegios administrativos. Los atacantes logran así una ventana de detección ciega indefinida mientras proceden con el despliegue de RedSun o el robo de credenciales.

La Cadena de Ataque: Sinergia entre RedSun, UnDefend y BlueHammer

La inteligencia de amenazas actual sugiere que los grupos de ciberespionaje no están utilizando estas fallas de forma aislada. Se ha observado un “Kill Chain” o cadena de ataque coordinada que maximiza el impacto de estas herramientas. Este flujo operativo suele comenzar con un acceso inicial obtenido a través de credenciales filtradas de VPN o phishing.

Una vez dentro del sistema, el atacante despliega UnDefend para asegurar que las alertas generadas por las herramientas posteriores no sean enviadas a la consola de administración de Microsoft Defender for Endpoint (MDE) o que las firmas que detectan el exploit no lleguen al dispositivo. Posteriormente, se utiliza RedSun para elevar privilegios. En algunos casos, si el sistema no ha sido reiniciado tras los parches de mediados de abril, se utiliza BlueHammer para abusar de las Volume Shadow Copies (VSS) y extraer la base de datos SAM (Security Account Manager), obteniendo los hashes NTLM de las cuentas locales.

El impacto de esta tríada es crítico:

• Evasión de EDR: Al cegar el motor de firmas, muchas funciones de detección basadas en comportamiento se ven degradadas.
• Persistencia Invisible: Los atacantes pueden sobrescribir servicios críticos del sistema que no son monitoreados habitualmente por herramientas de integridad de archivos.
• Acceso de Nivel Kernel: Aunque el exploit no es un fallo de corrupción de memoria del kernel, el acceso a SYSTEM permite cargar controladores (drivers) maliciosos, logrando persistencia a nivel de firmware o hipervisor.

Detección y Forense: ¿Cómo identificar la explotación en curso?

Dado que estas vulnerabilidades de Microsoft Defender abusan de procesos legítimos del sistema operativo, la detección basada puramente en firmas es ineficaz. Los equipos de Blue Team y centros de operaciones de seguridad (SOC) deben centrar sus esfuerzos en la telemetría conductual. CSIRT-ITA y otros organismos han identificado indicadores clave de compromiso (IoCs) y patrones de comportamiento:

Indicadores de Comportamiento Sospechoso

• Uso anómalo de cmdkey y net group: Los atacantes suelen ejecutar comandos de enumeración de privilegios inmediatamente después de la escalada. Monitorear procesos como cmd.exe o powershell.exe ejecutando cmdkey /list o net group "Domain Admins" desde cuentas que antes eran de bajo privilegio.
• Modificaciones en System32 por MsMpEng.exe: Es extremadamente inusual que el motor de Defender escriba archivos directamente en la raíz de System32 o sobrescriba ejecutables de servicios existentes. Cualquier alerta de integridad de archivos en esta ruta originada por el proceso de Defender debe tratarse como un incidente de alta prioridad.
• Fallas persistentes de actualización: Un aumento en los eventos de error de actualización de firmas (Event IDs de Defender 2001, 2003 o 2004) en múltiples endpoints puede indicar un despliegue masivo de UnDefend.
• Uso de la API de Cloud Files: Monitorear el registro de nuevos Sync Roots sospechosos que utilicen nombres de proveedores inusuales o aleatorios, especialmente si se originan en ejecutables ubicados en carpetas de usuario como \Downloads\ o \Pictures\.

Estrategias de Mitigación y Hardening para Equipos de Seguridad

Mientras Microsoft trabaja en un parche definitivo para RedSun y UnDefend, las organizaciones deben adoptar una postura de defensa proactiva. No es suficiente confiar en la configuración predeterminada del sistema operativo.

1. Endurecimiento de Reglas de Reducción de Superficie de Ataque (ASR):
Es vital habilitar reglas ASR específicas, tales como “Block credential stealing from the Windows local security authority subsystem (lsass.exe)” y “Block process creations originating from PSExec and WMI commands”. Aunque no detienen el exploit de RedSun per se, limitan severamente lo que el atacante puede hacer una vez obtenido el acceso SYSTEM.

2. Monitoreo de VSS y Shadow Copies:
Restringir el acceso a las herramientas de administración de Volume Shadow Copy (vssadmin.exe) y monitorear la creación inusual de snapshots. Los exploits como BlueHammer dependen de la capacidad de montar estos snapshots para leer archivos bloqueados.

3. Aislamiento de Procesos y EDR de Terceros:
Si es posible, se recomienda el uso de una solución de EDR secundaria que no comparta la misma base de código o lógica de actualización que Defender. Esto asegura que, aunque el “escudo principal” sea cegado por UnDefend, una segunda capa de visibilidad permanezca activa.

4. Restricción de Escritura en Directorios Críticos:
Implementar políticas de control de integridad de archivos (FIM) que bloqueen o alerten sobre cualquier intento de sobrescribir binarios en C:\Windows\System32 que no provenga del proceso oficial de Windows Update (TrustedInstaller).

Conclusión: El Futuro de la Protección de Endpoints

La crisis provocada por las vulnerabilidades de Microsoft Defender en 2026 nos recuerda que ningún software de seguridad es infalible. El hecho de que una herramienta diseñada para protegernos pueda ser manipulada para convertirse en el facilitador de un ataque de nivel SYSTEM es una lección de humildad para la industria. La explotación de RedSun y UnDefend subraya la importancia del principio de “Asunción de Brecha” (Assume Breach).

Las organizaciones que sobrevivan a esta ola de ataques serán aquellas que no dependan de una única solución monolítica, sino que hayan construido una arquitectura de seguridad resiliente, con visibilidad profunda en la red y una capacidad de respuesta rápida basada en el análisis de comportamientos sospechosos. La carrera entre los investigadores como Chaotic Eclipse y los equipos de respuesta de Microsoft continúa, pero por ahora, la vigilancia extrema es la única defensa real.