Actores de amenazas están explotando activamente tres vulnerabilidades de seguridad de **Windows** recientemente divulgadas en ataques dirigidos a obtener permisos de SYSTEM o de administrador elevados. Desde principios de mes, un investigador de seguridad conocido como "Chaotic Eclipse" o "Nightmare-Eclipse" ha publicado código de prueba de concepto (exploit) para los tres problemas de seguridad en protesta por la forma en que el Centro de Respuesta de Seguridad de **Microsoft** (**MSRC**) manejó el proceso de divulgación. Dos de las vulnerabilidades (denominadas [BlueHammer](https://www.bleepingcomputer.com/news/security/disgruntled-researcher-leaks-bluehammer-windows-zero-day-exploit/) y [RedSun](https://www.bleepingcomputer.com/news/microsoft/new-microsoft-defender-redsun-zero-day-poc-grants-system-privileges/)) son fallos de escalada de privilegios local (LPE) de **Microsoft Defender**, mientras que la tercera (conocida como [UnDefend](https://github.com/Nightmare-Eclipse/UnDefend)) puede ser explotada como un usuario estándar para bloquear las actualizaciones de definiciones de **Microsoft Defender**. En el momento de la filtración, las fallas de seguridad que estos exploits atacaban eran consideradas zero-days según la definición de **Microsoft**, ya que no tenían parches oficiales ni actualizaciones para abordarlas. El jueves, investigadores de seguridad de **Huntress Labs** informaron haber visto los tres exploits zero-day desplegados en la naturaleza, con la vulnerabilidad BlueHammer siendo explotada desde el 10 de abril. También observaron ataques en un dispositivo **Windows** que fue comprometido utilizando un usuario SSLVPN comprometido, mostrando evidencia de "actividad de actor de amenaza con acceso directo al teclado". "El **Huntress SOC** está observando el uso de las técnicas de explotación BlueHammer, RedSun y UnDefend de Nightmare-Eclipse", dijeron los investigadores. ## Dos zero-days aún esperando un parche Si bien **Microsoft** ahora está rastreando la vulnerabilidad BlueHammer como **CVE-2026-33825** y la ha parcheado en las actualizaciones de seguridad de abril de 2026, las otras dos fallas permanecen sin abordar. Como se informó anteriormente, los atacantes pueden usar el exploit RedSun para obtener privilegios de SYSTEM en sistemas Windows 10, Windows 11 y Windows Server 2019 y posteriores cuando Windows Defender está habilitado, incluso después de aplicar los parches del Patch Tuesday de abril. "Cuando Windows Defender se da cuenta de que un archivo malicioso tiene una etiqueta en la nube, por alguna razón estúpida y graciosa, el antivirus que se supone que debe proteger decide que es una buena idea simplemente reescribir el archivo que encontró de nuevo en su ubicación original", explicó el investigador. "El PoC abusa de este comportamiento para sobrescribir archivos del sistema y obtener privilegios administrativos". "Microsoft tiene el compromiso con el cliente de investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para proteger a los clientes lo antes posible", dijo un portavoz de **Microsoft** a BleepingComputer a principios de esta semana cuando se le contactó para obtener más información sobre los problemas de divulgación reportados por el investigador anónimo. "También apoyamos la divulgación coordinada de vulnerabilidades, una práctica ampliamente adoptada en la industria que ayuda a garantizar que los problemas se investiguen y aborden cuidadosamente antes de la divulgación pública, apoyando tanto la protección del cliente como la comunidad de investigación de seguridad."