Vulnerabilidades en Microsoft Defender: RedSun y UnDefend explotadas

En el panorama de la ciberseguridad contemporánea, pocas situaciones resultan tan alarmantes como el hecho de que las propias herramientas de protección se conviertan en el vector de ataque principal. A mediados de abril de 2026, la comunidad global de seguridad ha entrado en un estado de alerta máxima tras la confirmación de la explotación activa de múltiples vulnerabilidades en Microsoft Defender. Estas fallas, identificadas bajo los nombres clave RedSun y UnDefend, representan una amenaza crítica para infraestructuras corporativas debido a que, a diferencia de su contraparte BlueHammer (CVE-2026-33825), aún no cuentan con un parche oficial por parte de Microsoft.

La filtración de estos exploits no fue producto de un ciberataque convencional, sino de una filtración deliberada por parte de un investigador anónimo operando bajo los seudónimos “Chaotic Eclipse” y “Nightmare Eclipse”. El investigador justificó la publicación de los códigos de explotación como una medida de protesta contra la gestión de divulgación de vulnerabilidades de Microsoft, alegando negligencia y maltrato por parte del Centro de Respuesta de Seguridad de Microsoft (MSRC). Esta “guerra fría” entre investigadores y el gigante tecnológico ha dejado a millones de sistemas Windows 10, 11 y Server 2019/2022 vulnerables ante una escalada de privilegios local (LPE) y la desactivación total del motor de seguridad.

Radiografía técnica de las vulnerabilidades en Microsoft Defender

Para comprender la gravedad del incidente, es imperativo desglosar el funcionamiento técnico de los tres componentes filtrados por Chaotic Eclipse. Aunque comparten el objetivo común de comprometer la integridad de la seguridad del sistema operativo, cada herramienta ataca un flanco diferente del motor de protección.

RedSun: El peligro de la restauración de archivos en la nube

El exploit bautizado como RedSun es, quizás, el más sofisticado de la triada. Se trata de una vulnerabilidad de escalada de privilegios local (LPE) que abusa de una lógica defectuosa en el proceso de remediación de archivos con etiquetas de “Cloud Files”. La falla reside específicamente en una validación inexistente de puntos de redirección (reparse points) dentro de MpSvc.dll, el núcleo del motor de protección contra malware.

El ataque se ejecuta siguiendo una cadena lógica de cinco pasos:

• Registro de Sync Root: El atacante utiliza la API de Windows Cloud Files (cldapi.dll) para registrar un “sync root” falso mediante la función CfRegisterSyncRoot().
• Creación de Placeholders: Se suelta un archivo “placeholder” diseñado para atraer la atención de Defender, llevando atributos extendidos (EA) que lo identifican como un archivo remoto pendiente de hidratación.
• Activación del disparador: Defender detecta el archivo como malicioso (por ejemplo, mediante una cadena EICAR) y, debido a su etiqueta de nube, intenta restaurarlo a su ubicación original para propósitos de análisis o cuarentena.
• Uso de Junctions y Oplocks: Aquí reside el núcleo del exploit. El atacante utiliza un NTFS Junction Point y un bloqueo de oportunidad (oplock) para redirigir la operación de escritura de Defender (que corre con privilegios de SYSTEM) hacia una ruta crítica, como C:\Windows\System32\TieringEngineService.exe.
• Ejecución con privilegios SYSTEM: Al no validar el destino, Defender sobrescribe un binario legítimo del sistema con el payload del atacante. El sistema, al intentar ejecutar dicho servicio, inicia el código del atacante con privilegios administrativos totales.

UnDefend: El bloqueo de la inteligencia de amenazas

Mientras que RedSun busca el control total, UnDefend se enfoca en la neutralización de la capacidad de detección. Esta vulnerabilidad permite que un usuario con privilegios estándar bloquee las actualizaciones de firmas o incluso detenga por completo la plataforma anti-malware durante ciclos de actualización mayor.

UnDefend opera en dos modos detectados por laboratorios como Huntress Labs:

1. Modo Pasivo: Bloquea silenciosamente el acceso a los servidores de actualización de firmas, provocando que Defender pierda visibilidad ante nuevas amenazas.
2. Modo Agresivo: Durante la actualización de archivos binarios críticos como MsMpEng.exe, el exploit interfiere con el mecanismo de reemplazo de archivos, causando una condición de denegación de servicio (DoS) que deja al sistema sin protección activa.

BlueHammer (CVE-2026-33825): La lección aprendida (y parcheada)

Es importante notar que el tercer exploit de la filtración original, BlueHammer, ya fue abordado en las actualizaciones del “Patch Tuesday” de abril de 2026. Identificada como CVE-2026-33825, esta vulnerabilidad permitía la escalada de privilegios mediante el abuso del Servicio de Instantáneas de Volumen (VSS).

BlueHammer aprovechaba la interfaz COM del Agente de Actualización de Windows para forzar a Defender a crear una instantánea (shadow copy). Mediante el uso de oplocks, el atacante pausaba el hilo de ejecución de SYSTEM de Defender en el momento exacto en que montaba la instantánea, dejando accesibles los hives del registro (SAM, SYSTEM, SECURITY) que normalmente están bloqueados. Esto permitía la extracción de hashes NTLM y la duplicación de tokens de seguridad. Microsoft solucionó este fallo en la versión de la plataforma 4.18.26050.3011, validando estrictamente el estado del montaje de instantáneas durante el proceso de actualización.

Actividad detectada en el mundo real

La disponibilidad pública del código de explotación en GitHub ha facilitado que actores de amenazas, desde grupos de ransomware hasta atacantes patrocinados por estados, integren estas herramientas en sus flujos de trabajo. Huntress Labs ha documentado múltiples incidentes de tipo “hands-on-keyboard” (actividad humana directa en el teclado) tras un acceso inicial comprometido.

El vector de entrada más común en estas campañas ha sido el uso de credenciales comprometidas de SSLVPN. Una vez dentro de la red, los atacantes despliegan binarios como RedSun.exe o FunnyApp.exe en directorios de usuario con permisos de escritura (como Downloads o Pictures). Tras obtener privilegios de SYSTEM mediante RedSun, los actores de amenazas proceden a realizar movimientos laterales, exfiltrar datos y, finalmente, desplegar payloads secundarios como ransomware, asegurándose previamente de que UnDefend haya neutralizado cualquier intento de detección por parte de la telemetría de Windows.

Estrategias de mitigación ante vulnerabilidades en Microsoft Defender

Dado que no existe un parche para RedSun y UnDefend al momento de esta publicación, los equipos de Blue Team y administradores de sistemas deben adoptar una postura de defensa en profundidad y monitoreo proactivo. Las siguientes medidas son críticas para reducir la superficie de ataque:

• Monitorización de procesos sospechosos: Es vital alertar sobre la ejecución de comandos de enumeración de red y privilegios (whoami /priv, cmdkey /list, net group) seguidos inmediatamente por el despliegue de ejecutables no firmados en carpetas temporales de usuario.
• Restricción de Cloud Files API: En entornos donde no sea estrictamente necesario el uso de servicios de sincronización en la nube como OneDrive o Dropbox, se recomienda monitorear o restringir el uso de cldapi.dll.
• Aislamiento de credenciales: Dado que el acceso inicial suele ser a través de VPNs, la implementación obligatoria de autenticación multifactor (MFA) resistente a phishing es la primera línea de defensa para evitar que el atacante llegue al punto de ejecutar un LPE.
• Auditoría de Junctions: Monitorear la creación de NTFS Junction Points que apunten a directorios críticos del sistema como C:\Windows\System32 o C:\Program Files\Windows Defender.
• Actualización inmediata de BlueHammer: Verificar que todos los endpoints hayan recibido el parche CVE-2026-33825 para cerrar al menos uno de los vectores de escalada de privilegios.

La crisis de confianza en el modelo de divulgación

El caso de Chaotic Eclipse pone de manifiesto una fractura peligrosa en el ecosistema de ciberseguridad. Cuando un investigador siente que sus hallazgos son ignorados o minimizados, la publicación de “Zero-Days” se convierte en un arma de doble filo que, si bien presiona a los proveedores para actuar, expone a miles de organizaciones a riesgos incalculables. Las vulnerabilidades en Microsoft Defender son especialmente críticas porque este software es la base de la seguridad para el sector educativo, pequeñas empresas y gran parte de la infraestructura gubernamental global.

En conclusión, el panorama de amenazas de abril de 2026 exige una vigilancia constante. Mientras Microsoft trabaja en parches fuera de ciclo (Out-of-Band) para RedSun y UnDefend, la responsabilidad recae en los defensores para detectar las señales sutiles de una intrusión antes de que los atacantes logren silenciar a “el guardián” del sistema operativo. La cacería de amenazas (threat hunting) ya no es un lujo, sino una necesidad operativa frente a la fragilidad de las defensas automatizadas.