### RedSun: Un Nuevo Día Cero en Defender El exploit, apodado "RedSun", afecta a sistemas **Windows 10**, **Windows 11** y **Windows Server**, incluso con las últimas actualizaciones del Patch Tuesday de abril instaladas. Aprovecha una falla donde **Windows Defender**, al identificar un archivo con una etiqueta en la nube, reescribe el archivo en su ubicación original, independientemente de su potencial malicia. "Cuando Windows Defender se da cuenta de que un archivo malicioso tiene una etiqueta en la nube, por la razón estúpida y hilarante que sea, el antivirus que se supone que debe proteger decide que es una buena idea simplemente reescribir el archivo que encontró de nuevo en su ubicación original", [explica el investigador](https://github.com/Nightmare-Eclipse/RedSun). La prueba de concepto (PoC) abusa de este comportamiento para sobrescribir archivos del sistema, lo que finalmente conduce a privilegios administrativos. ### Exploit Confirmado Will Dormann, analista principal de vulnerabilidades en Tharros, ha verificado la funcionalidad del exploit. Concede con éxito privilegios SYSTEM en sistemas **Windows 10**, **Windows 11** y **Windows Server 2019** y posteriores completamente parcheados. "Este exploit utiliza la 'Cloud Files API', escribe EICAR en un archivo usándola, emplea un oplock para ganar una carrera de copias de seguridad de volumen (volume shadow copy) y utiliza una unión de directorios/punto de reanálisis (directory junction/reparse point) para redirigir la reescritura del archivo (con contenido nuevo) a C:\Windows\system32\TieringEngineService.exe", explicó Dormann en un [hilo en Mastodon](https://infosec.exchange/@wdormann/116412019416916182). "En este punto, la Infraestructura de Archivos en la Nube ejecuta el TieringEngineService.exe plantado por el atacante (que es el propio exploit RedSun.exe) como SYSTEM. Fin del juego."  *Exploit RedSun otorgando privilegios SYSTEM en un Windows 11 completamente parcheado. Fuente: Dormann* Algunos proveedores de antivirus en **VirusTotal** están detectando el exploit porque el ejecutable contiene un EICAR incrustado (archivo de prueba de antivirus). Sin embargo, el investigador redujo las detecciones cifrando la cadena EICAR dentro del ejecutable. Una [descripción técnica](https://nefariousplan.com/posts/redsun-windows-defender-system-write/) más detallada sobre esta vulnerabilidad fue compartida por el investigador de seguridad Kevlar. ### Ecos de BlueHammer Este lanzamiento sigue a la publicación anterior del investigador de un exploit para otro día cero LPE de **Microsoft Defender**, apodado "BlueHammer", ahora rastreado como **CVE-2026-33825**. **Microsoft** abordó esta falla en las recientes actualizaciones del Patch Tuesday. ### Protesta del Investigador El investigador afirma que la publicación de estos PoCs de día cero es una forma de protesta contra el manejo que **Microsoft** hace de los investigadores de ciberseguridad y las divulgaciones de vulnerabilidades al **Microsoft Security Response Center (MSRC)**. "Normalmente, pasaría por el proceso de suplicarles que arreglen un error, pero para resumir, me dijeron personalmente que arruinarían mi vida y lo hicieron, y no estoy seguro de si fui el único que tuvo esta horrible experiencia o si pocas personas la tuvieron, pero creo que la mayoría simplemente lo aceptaría y cortaría sus pérdidas, pero para mí, se lo llevaron todo", [alegó el investigador](https://deadeclipse666.blogspot.com/2026/04/public-disclosure-response-for-cve-2026.html). ### Respuesta de Microsoft Al ser contactado sobre estos presuntos problemas, **Microsoft** proporcionó la siguiente declaración: "Microsoft tiene un compromiso con el cliente de investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para proteger a los clientes lo antes posible", dijo un portavoz de **Microsoft** a BleepingComputer. "También apoyamos la divulgación coordinada de vulnerabilidades, una práctica ampliamente adoptada en la industria que ayuda a garantizar que los problemas se investiguen y aborden cuidadosamente antes de la divulgación pública, apoyando tanto la protección del cliente como la comunidad de investigación de seguridad."