Vulnerabilidades Microsoft Defender: RedSun y UnDefend bajo explotación

El panorama de la ciberseguridad global ha sido sacudido este 17 de abril de 2026 tras confirmarse que el motor de protección más utilizado del mundo se ha convertido, paradójicamente, en el vector de ataque más peligroso para las empresas. Las recientes vulnerabilidades Microsoft Defender, identificadas bajo los nombres clave RedSun y UnDefend, representan una crisis de confianza sin precedentes en la infraestructura de seguridad de Windows. A pesar de los esfuerzos de Microsoft por proyectar estabilidad tras el Patch Tuesday del pasado 14 de abril, la realidad técnica en el campo de batalla digital es drásticamente distinta: los sistemas siguen expuestos a un compromiso total de privilegios.

La situación escaló rápidamente cuando el investigador conocido como “Chaotic Eclipse” (o Nightmare-Eclipse) decidió filtrar públicamente el código de explotación (PoC). Esta no fue una acción aleatoria, sino un acto de protesta contra el Microsoft Security Response Center (MSRC), a quienes el investigador acusa de negligencia y maltrato institucional durante el proceso de divulgación responsable. Hoy, con los exploits circulando libremente en repositorios de GitHub y foros de la dark web, organizaciones de todo el mundo —desde servicios de salud hasta agencias gubernamentales— enfrentan la pesadilla de un atacante que puede cegar sus defensas y tomar el control absoluto de sus servidores con una confiabilidad del 100%.

La Anatomía de RedSun: Cuando el Protector se Convierte en Arma

De las dos nuevas vulnerabilidades Microsoft Defender, RedSun es técnicamente la más sofisticada y devastadora. Se trata de una falla de Escalamiento Local de Privilegios (LPE) que permite a cualquier usuario estándar, sin ningún tipo de permiso administrativo, elevar sus privilegios al nivel de SYSTEM. Lo que hace que RedSun sea particularmente humillante para el ecosistema de Windows es que utiliza la propia lógica de remediación de Defender para realizar el ataque.

El núcleo del problema reside en el motor de protección contra malware (específicamente en la biblioteca MpSvc.dll cargada por el proceso MsMpEng.exe). El exploit aprovecha un error de lógica en cómo el antivirus maneja la restauración de archivos que han sido marcados con “cloud tags” específicos. Según los informes técnicos de CloudSEK y BleepingComputer, el proceso ocurre de la siguiente manera:

• El atacante coloca un archivo diseñado para ser detectado como malicioso en un directorio controlado por el usuario.
• Este archivo posee metadatos de “etiqueta de nube” que activan una función de “reescritura” o restauración por parte de Defender.
• Cuando Defender identifica el archivo y decide “restaurarlo” para proteger la integridad del sistema, lo hace bajo el contexto de NT AUTHORITY\SYSTEM.
• En el instante preciso (usando una técnica de carrera conocida como Batch OPLOCK), el atacante reemplaza el directorio de destino con un punto de montaje NTFS (reparse point) que apunta hacia C:\Windows\System32\.
• Dado que Defender no valida adecuadamente si el destino es un enlace simbólico o un punto de unión antes de escribir, termina sobrescribiendo archivos críticos del sistema (como sethc.exe o DLLs vitales) con código arbitrario del atacante.

Este ataque no requiere exploits de kernel complejos ni la carga de controladores no firmados. Es un abuso de la confianza inherente que el sistema operativo deposita en el proceso de Microsoft Defender. Al ser una falla de lógica y no de corrupción de memoria tradicional, las mitigaciones modernas de Windows, como VBS (Virtualization-based Security) o el aislamiento de procesos, resultan ineficaces para detener la ejecución de RedSun.

UnDefend: El Golpe de Gracia por Ceguera Digital

Si RedSun es el mazo que rompe la puerta, UnDefend es la venda que impide que el guardia vea al intruso. Esta vulnerabilidad complementaria permite a un actor de amenazas bloquear de manera efectiva la recepción de actualizaciones de definiciones de virus en Microsoft Defender. En un entorno empresarial, la efectividad de un antivirus depende casi exclusivamente de su capacidad para recibir inteligencia de amenazas en tiempo real desde la nube de Microsoft.

Al explotar UnDefend, un atacante puede “congelar” la base de datos de firmas del sistema en un estado perpetuo. Esto significa que cualquier nueva variante de malware, ransomware o herramienta de post-explotación lanzada después de la infección inicial no será detectada por el motor nativo de Windows. Lo alarmante de UnDefend es que no requiere privilegios elevados para ejecutarse; un usuario de dominio con permisos mínimos puede dejar a toda una estación de trabajo —y potencialmente a un servidor de archivos— vulnerable ante amenazas modernas sin que el administrador de TI reciba una alerta inmediata de “protección desactivada”.

Explotación Activa y el Informe de Huntress Labs

La confirmación de que estas vulnerabilidades Microsoft Defender están siendo utilizadas “in-the-wild” (en condiciones reales) llegó a través de una alerta urgente de Huntress Labs. Los analistas del SOC de Huntress detectaron actividades de “manos al teclado” (hands-on-keyboard) en redes comprometidas. Según su reporte, los atacantes obtuvieron el acceso inicial a través de credenciales de SSLVPN robadas en campañas de phishing previas.

Una vez dentro de la red, los intrusos desplegaron el binario de RedSun para escalar de un usuario de VPN limitado a privilegios de SYSTEM en menos de 60 segundos. Con este nivel de acceso, procedieron a ejecutar UnDefend para asegurarse de que las herramientas de persistencia que cargarían posteriormente no fueran detectadas. Los puntos clave de la explotación actual incluyen:

1. Confiabilidad Absoluta: A diferencia de otros exploits que causan pantallas azules (BSOD) o fallan intermitentemente, RedSun ha demostrado ser 100% exitoso en Windows 11 Build 26200.8246 y Windows Server 2022.
2. Evasión de Parches: Se ha verificado que los sistemas que aplicaron religiosamente las actualizaciones de abril de 2026 siguen siendo vulnerables. El parche para la vulnerabilidad previa (BlueHammer/CVE-2026-33825) no bloquea la lógica utilizada por RedSun.
3. Uso por Grupos de Ransomware: Inteligencia de amenazas sugiere que grupos de habla rusa ya están integrando estos PoCs en sus marcos de ataque automatizados, lo que podría llevar a una ola de incidentes de cifrado de datos en los próximos días.

¿Por qué Microsoft No Ha Detenido a “Chaotic Eclipse”?

La pregunta que resuena en los departamentos de TI es por qué estas fallas críticas permanecen sin parchear tres días después del ciclo oficial de actualizaciones. La respuesta parece ser una mezcla de complejidad técnica y un conflicto humano amargo. El investigador Chaotic Eclipse ha declarado que el MSRC ignoró sus advertencias iniciales y que incluso intentaron “arruinar su carrera” cuando se negó a proporcionar demostraciones en video sin garantías de reconocimiento o pago por errores (bounties).

Esta dinámica de “investigador vengativo” ha creado un escenario peligroso donde la información técnica fluye más rápido hacia los atacantes que hacia los defensores. El MSRC se encuentra en una posición defensiva, emitiendo comunicados genéricos sobre la “divulgación responsable”, mientras el ecosistema Windows sufre las consecuencias de una gestión de vulnerabilidades que muchos consideran obsoleta para las demandas de 2026.

Estrategias de Mitigación: Blindaje Más Allá de Defender

Dado que no existe un parche oficial para estas vulnerabilidades Microsoft Defender al cierre de este artículo, las organizaciones deben adoptar una postura de “Defensa en Profundidad”. Confiar exclusivamente en el motor nativo de Microsoft en este momento equivale a dejar la puerta principal de la empresa sin cerrojo.

Recomendaciones Inmediatas para Administradores de Sistemas:

• Despliegue de EDR de Terceros: Es crítico contar con soluciones de Detección y Respuesta en el Endpoint (EDR) que no dependan de las bibliotecas de Defender. Herramientas como SentinelOne, CrowdStrike o Sophos utilizan sus propios agentes y lógica de monitoreo de kernel que no se ven afectados por el bloqueo de actualizaciones de UnDefend.
• Monitoreo de Enlaces Simbólicos: Configurar reglas de auditoría para alertar sobre la creación de enlaces simbólicos o puntos de montaje NTFS (Junction Points) por parte de usuarios no privilegiados, especialmente aquellos que apunten a carpetas de sistema como \System32\ o \ProgramData\Microsoft\Windows Defender\.
• Vigilancia de Procesos: Utilizar Sysmon para monitorear eventos de escritura de archivos realizados por MsMpEng.exe. Cualquier escritura de este proceso en directorios de sistema inmediatamente después de un evento de detección de malware debe considerarse altamente sospechosa.
• Endurecimiento de VPN: Dado que el vector de entrada inicial son las VPNs, implementar de forma obligatoria la autenticación multifactor (MFA) resistente a phishing (como FIDO2/WebAuthn) para mitigar el riesgo de acceso inicial.

El Impacto en Windows Server y la Nube

El riesgo para Windows Server 2019 y 2022 es significativamente más alto. En entornos de escritorio, un usuario comprometido puede llevar a la pérdida de una estación de trabajo; en un servidor, RedSun permite al atacante extraer la base de datos SAM o interceptar tokens de autenticación para moverse lateralmente hacia el Directorio Activo. El hecho de que RedSun afecte al componente cldapi.dll (Cloud Files API) significa que incluso los servidores que operan en nubes híbridas con sincronización de archivos activa están en la línea de fuego.

Conclusión: Un Despertar Difícil para la Seguridad de Microsoft

Las vulnerabilidades Microsoft Defender que estamos presenciando en abril de 2026 no son solo fallos de software; son síntomas de una fragilidad sistémica. Cuando el software diseñado para ser la última línea de defensa puede ser manipulado para convertirse en el facilitador del compromiso total, es hora de reevaluar las dependencias tecnológicas de las empresas.

RedSun y UnDefend permanecerán en los libros de historia de la ciberseguridad como recordatorios de que ninguna herramienta es infalible y de que la relación entre los investigadores independientes y los gigantes tecnológicos debe basarse en la transparencia y el respeto mutuo, no en el antagonismo. Mientras Microsoft trabaja contra reloj para lanzar un parche de emergencia fuera de ciclo, la consigna para los CISO y directores de tecnología es clara: asuman el compromiso, monitoreen sus logs y no esperen a que el icono verde de Defender les diga que todo está bien. La invisibilidad del ataque es hoy su mayor fortaleza.