Huntress advierte que los actores de amenazas están explotando tres fallas de seguridad recientemente reveladas en Microsoft Defender para obtener privilegios elevados en sistemas comprometidos.
La actividad implica la explotación de tres vulnerabilidades con nombre en código BlueHammer (requiere inicio de sesión en GitHub), RedSun y UnDefend, todas las cuales fueron lanzadas como día cero por un investigador conocido como Chaotic Ausencia (además conocido como Nightmare-Ausencia) en respuesta al manejo de Microsoft del proceso de divulgación de vulnerabilidades.
Si admisiblemente tanto BlueHammer como RedSun son fallas de ascensión de privilegios locales (LPE) que afectan a Microsoft Defender, UnDefend se puede utilizar para desencadenar una condición de denegación de servicio (DoS) y cortar eficazmente las actualizaciones de definiciones.
Microsoft tomó medidas para enfrentarse BlueHammer como parte de sus actualizaciones del martes de parches lanzadas a principios de esta semana. La vulnerabilidad se rastrea con el identificador CVE CVE-2026-33825. Sin retención, las otras fallas no tienen posibilidad al momento de escribir este artículo.
En una serie de publicaciones compartidas en X, Huntress dijo que observó que las tres fallas se explotaban en la naturaleza, con BlueHammer siendo utilizado como pertrechos desde el 10 de abril de 2026, seguido del uso de RedSun y UnDefend prueba de concepto (PoC) el 16 de abril.
“Estas invocaciones siguieron a los típicos comandos de enumeración: whoami /priv, cmdkey /list, net group y otros que indican la actividad praxis del actor de amenazas en el teclado”, añadió.
El proveedor de ciberseguridad dijo que ha tomado medidas para aislar a la ordenamiento afectada para evitar una decano explotación posterior. The Hacker News se comunicó con Microsoft para hacer comentarios y actualizaremos la historia si recibimos una respuesta.
