Zero-day de Windows Defender: RedSun expone fallos críticos en Microsoft

El 16 de abril de 2026 marcará un antes y un después en la tensa relación entre las grandes corporaciones tecnológicas y la comunidad de investigadores independientes. En una maniobra que evoca la era dorada del vigilantismo digital y el full disclosure de los años 90, un investigador de seguridad conocido bajo el alias “Chaotic Eclipse” (o Nightmare-Eclipse en GitHub) ha lanzado una bomba técnica: RedSun. Se trata del segundo Zero-day de Windows Defender liberado públicamente en menos de dos semanas, y su propósito no es solo demostrar una falla técnica, sino ejecutar una venganza personal contra Microsoft tras un conflicto por el manejo de recompensas y el reconocimiento de vulnerabilidades.

El retorno de la “vieja guardia”: El origen de RedSun

La ciberseguridad moderna se rige, al menos en teoría, por el concepto de Divulgación de Vulnerabilidades Coordinada (CVD). Sin embargo, RedSun rompe este protocolo de forma violenta. Según las declaraciones del propio investigador, Microsoft habría actuado de manera negligente respecto a un reporte previo, una vulnerabilidad anterior denominada “BlueHammer” (ahora rastreada como CVE-2026-33825). Chaotic Eclipse sostiene que la compañía no solo minimizó su hallazgo, sino que aplicó un “parche perezoso” que dejaba la puerta entreabierta para nuevos vectores de ataque.

El tono del lanzamiento en GitHub no deja lugar a dudas sobre la motivación del autor. Expresando una profunda frustración, el investigador afirmó haber sido “apuñalado por la espalda” por Microsoft, alegando que, a pesar de sus contribuciones críticas para asegurar el ecosistema de Windows, se le dejó “sin hogar y sin nada”, mientras la empresa acreditaba a otros investigadores por hallazgos que él asegura haber reportado primero. Esta narrativa de “investigador contra gigante corporativo” ha resonado en foros de underground hacking, reavivando el debate sobre la equidad en los programas de Bug Bounty.

Anatomía técnica del Zero-day de Windows Defender: ¿Cómo funciona RedSun?

A diferencia de otros exploits que requieren vulnerabilidades complejas en el kernel, el Zero-day de Windows Defender bautizado como RedSun utiliza una lógica de encadenamiento de funciones legítimas del sistema operativo para lograr una Escalada de Privilegios Locales (LPE) hasta el nivel SYSTEM. El exploit es elegante en su simplicidad y devastador en su ejecución.

El núcleo del ataque reside en la interacción entre el motor de escaneo de Microsoft Defender (MsMpEng.exe) y la infraestructura de Cloud Files API de Windows. A continuación, desglosamos el proceso técnico utilizado por RedSun:

• Activación vía EICAR: El exploit genera un archivo que contiene la cadena de prueba estándar EICAR (utilizada para verificar el funcionamiento de antivirus). Al ser detectado, Defender inicia su proceso de remediación.
• Abuso de Cloud Files API: El investigador descubrió que cuando Defender detecta un archivo que posee un “tag de nube”, el servicio intenta reescribir o restaurar el archivo a su ubicación original para asegurar la integridad. Aquí es donde RedSun introduce su carga útil.
• Uso de Oplocks (Opportunistic Locks): El exploit emplea bloqueos oportunistas para ganar una “carrera de archivos” (race condition). Esto permite al atacante pausar el proceso de Defender en el momento exacto en que este intenta interactuar con el sistema de archivos.
• Redirección mediante Directory Junctions: Aprovechando la pausa, el exploit crea un punto de reparse o unión de directorios (junction) que redirige la operación de escritura de Defender hacia un binario crítico del sistema.
• Sobrescritura de TieringEngineService.exe: El destino final suele ser C:\Windows\system32\TieringEngineService.exe. Al ser un servicio que se ejecuta con privilegios de SYSTEM, una vez que Defender deposita el código malicioso (disfrazado de restauración legítima) en esta ruta, el atacante solo necesita disparar la ejecución del servicio para obtener control total del equipo.

Lo más alarmante de este Zero-day de Windows Defender es que funciona incluso en sistemas que cuentan con las últimas actualizaciones de seguridad de abril de 2026, ya que el parche para CVE-2026-33825 no cubría la lógica específica del manejo de archivos a través de la API de la nube que RedSun explota.

La disputa con MSRC y el fallo de los incentivos

El Centro de Respuesta de Seguridad de Microsoft (MSRC) se encuentra bajo la lupa. Si bien la compañía anunció recientemente una inversión masiva en su iniciativa “Secure Future” y repartió más de 2.3 millones de dólares en su evento Zero Day Quest 2026, casos como el de RedSun sugieren que hay grietas profundas en su comunicación con los investigadores independientes.

Chaotic Eclipse alega que Microsoft “jugó juegos” con su entrega inicial. Al parecer, la disputa se originó cuando la empresa calificó su hallazgo inicial con una severidad menor a la esperada y se negó a otorgar la recompensa económica completa, bajo el argumento de que otros investigadores ya habían reportado componentes similares. Para un investigador que depende de estas recompensas para subsistir, este tipo de decisiones administrativas pueden percibirse como una traición ética.

Este Zero-day de Windows Defender es, por tanto, un “exploit de despecho”. Al publicar el código directamente en GitHub, el investigador elimina la ventana de protección que tienen las empresas para desarrollar un parche, dejando a millones de usuarios vulnerables de forma inmediata. Es una táctica de tierra quemada: si el investigador no obtiene el beneficio, la empresa debe enfrentar el costo reputacional y operativo de una crisis de seguridad masiva.

Impacto en empresas y usuarios domésticos

El riesgo asociado a RedSun es crítico. Dado que Windows Defender viene preinstalado y activado por defecto en casi todas las instalaciones de Windows 10, Windows 11 y Windows Server, la superficie de ataque es prácticamente universal.

Para los administradores de TI, el problema es doble:

1. Detección dificultosa: Debido a que el exploit utiliza binarios legítimos de Windows y cadenas de prueba como EICAR (que a menudo son ignoradas por los sistemas de monitoreo de alertas como falsos positivos de prueba), puede pasar desapercibido para los equipos de SOC (Security Operations Center).
2. Persistencia: Una vez que se alcanza el nivel SYSTEM, un atacante puede desactivar por completo cualquier otra solución de seguridad (EDR/AV), extraer credenciales de la memoria (LSASS) y moverse lateralmente por la red corporativa.

Expertos en seguridad como Will Dormann han confirmado que el PoC (Proof of Concept) disponible en GitHub es funcional y “extremadamente estable”. A diferencia de otros exploits que suelen causar pantallas azules (BSOD) o inestabilidad, RedSun parece haber sido pulido meticulosamente para garantizar su efectividad en entornos de producción.

Mitigaciones temporales frente al Zero-day de Windows Defender

A la espera de un parche oficial por parte de Microsoft —el cual se espera sea lanzado de forma extraordinaria fuera del ciclo habitual de Patch Tuesday—, la comunidad de ciberseguridad recomienda las siguientes medidas de mitigación para reducir la exposición al Zero-day de Windows Defender:

• Restringir el uso de enlaces simbólicos y junctions: Implementar políticas de grupo (GPO) que limiten la capacidad de usuarios no administrativos para crear puntos de reparse en directorios temporales.
• Monitoreo de TieringEngineService.exe: Configurar reglas de EDR para alertar sobre cualquier modificación o escritura inusual en el archivo C:\Windows\system32\TieringEngineService.exe, así como ejecuciones sospechosas del mismo.
• Auditoría de Oplocks: Utilizar herramientas de monitoreo avanzado para detectar patrones de bloqueo oportunista masivo, los cuales son característicos de la fase de “carrera” del exploit RedSun.
• Desactivar temporalmente la protección basada en la nube: Aunque no es recomendable de forma permanente, desactivar la funcionalidad de “Cloud-delivered protection” en Defender puede romper la cadena de explotación de RedSun, al evitar que el motor MsMpEng active la lógica de restauración de archivos que el exploit abusa.

¿Hacia dónde va la ciberseguridad? El dilema del vigilante

La liberación de RedSun reabre una herida nunca cerrada en la industria: ¿quién protege a los protectores? Los programas de recompensa por errores han profesionalizado la búsqueda de fallos, pero también han creado una dependencia económica que, de no ser gestionada con transparencia, genera resentimientos peligrosos. Chaotic Eclipse ha demostrado que un solo individuo con el conocimiento técnico suficiente y la motivación adecuada puede poner en jaque la infraestructura de seguridad de la empresa más valiosa del mundo.

Este Zero-day de Windows Defender no es solo una línea de código en GitHub; es una declaración de guerra. El investigador ya ha amenazado con liberar exploits de Ejecución Remota de Código (RCE) si Microsoft no cambia su postura hacia los investigadores independientes. Si esto ocurre, pasaríamos de una escalada de privilegios local a una crisis de seguridad global de proporciones incalculables.

En conclusión, el caso RedSun nos recuerda que la seguridad absoluta no existe y que el factor humano —tanto el del desarrollador que comete un error lógico como el del investigador que se siente agraviado— sigue siendo el eslabón más crítico en la cadena de la ciberseguridad. Mientras Microsoft se apresura a contener los daños, el resto del mundo observa cómo el ecosistema Windows vuelve a los días de la incertidumbre total, donde el antivirus que debería protegernos se convierte en la herramienta principal de nuestra propia vulneración.