**Huntress** ha reportado la explotación activa de tres vulnerabilidades de seguridad en Microsoft Defender, que podrían llevar a la escalada de privilegios en sistemas comprometidos. Las vulnerabilidades, conocidas como **BlueHammer**, **RedSun** y **UnDefend**, fueron inicialmente divulgadas como zero-days por un investigador, Chaotic Eclipse (también conocido como Nightmare-Eclipse), debido a preocupaciones sobre el manejo de la divulgación de vulnerabilidades por parte de Microsoft. ### Detalles de las Vulnerabilidades * **BlueHammer**: Una falla de escalada local de privilegios (LPE) en Microsoft Defender. * **RedSun**: Otra vulnerabilidad LPE que afecta a Microsoft Defender. * **UnDefend**: Puede desencadenar una condición de denegación de servicio (DoS), impidiendo las actualizaciones de definiciones. ### Estado de Parche e Información CVE **Microsoft** ha abordado BlueHammer como parte de sus actualizaciones del "Patch Tuesday". La vulnerabilidad se rastrea como **CVE-2026-33825**. Al momento de redactar este artículo, RedSun y UnDefend permanecen sin parchear. ### Explotación "In-the-Wild" Huntress observó la explotación activa de las tres vulnerabilidades. Se reportó que BlueHammer fue "weaponizada" a partir del 10 de abril de 2026, con exploits de prueba de concepto (PoC) de RedSun y UnDefend apareciendo el 16 de abril. Según Huntress, los intentos de explotación fueron precedidos por comandos de reconocimiento, lo que indica actividad "hands-on-keyboard" por parte de los actores de amenazas. > "Estas invocaciones siguieron a comandos de enumeración típicos: whoami /priv, cmdkey /list, net group, y otros que indican actividad de actor de amenaza "hands-on-keyboard", afirmó Huntress. ### Medidas de Mitigación Huntress ha tomado medidas para aislar a la organización afectada y prevenir actividades posteriores a la explotación. ### Respuesta de Microsoft Microsoft confirmó que el exploit de BlueHammer ha sido abordado a través de CVE-2026-33825. > "Microsoft tiene el compromiso con el cliente de investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para proteger a los clientes lo antes posible", dijo un portavoz de Microsoft. "También apoyamos la divulgación coordinada de vulnerabilidades, una práctica ampliamente adoptada en la industria que ayuda a garantizar que los problemas se investiguen y aborden cuidadosamente antes de la divulgación pública, apoyando tanto la protección del cliente como la comunidad de investigación de seguridad."