Huntress advierte que los atacantes están aprovechando tres fallas de seguridad reveladas recientemente en Microsoft Defender para obtener privilegios elevados en sistemas comprometidos.
Esta actividad incluyó la explotación de tres vulnerabilidades con nombre en código BlueHammer (se requiere inicio de sesión en GitHub), RedSun y UnDefend, todas las cuales fueron lanzadas como día cero por investigadores conocidos como Chaotic Eclipse (también conocido como Nightmare-Eclipse) en respuesta al proceso de divulgación de vulnerabilidades de Microsoft.
BlueHammer y RedSun son fallas de escalada de privilegios locales (LPE) que afectan a Microsoft Defender, pero UnDefend se puede usar para causar una condición de denegación de servicio (DoS), bloqueando efectivamente las actualizaciones de definiciones.
Microsoft decidió admitir BlueHammer como parte de la actualización del martes de parches lanzada a principios de este mes. Esta vulnerabilidad se rastrea con el identificador CVE CVE-2026-33825. Sin embargo, otras fallas no se han solucionado al momento de escribir este artículo.
En una serie de publicaciones compartidas en X, Huntress dijo que observó que las tres fallas se explotaban en la naturaleza, con BlueHammer siendo utilizado como arma a partir del 10 de abril de 2026, seguido de las vulnerabilidades de prueba de concepto (PoC) de RedSun y UnDefend el 16 de abril.
«Estas llamadas siguieron comandos de enumeración de teclado típicos que indican la actividad de los actores de amenazas, como whoami /priv, cmdkey /list y net group», agregó.
El proveedor de ciberseguridad dijo que ha tomado medidas para aislar a las organizaciones afectadas para evitar daños mayores tras el exploit. Hacker News se comunicó con Microsoft para hacer comentarios y actualizará el artículo si recibimos una respuesta.
Source link
