CISA ordena parchear BlueHammer: Microsoft Defender permite escalada a SYSTEM — CVSS 7.8

La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) añadió este martes la vulnerabilidad CVE-2026-33825 a su catálogo de vulnerabilidades explotadas conocidamente (KEV), confirmando que el fallo en Microsoft Defender ya está siendo utilizado en ataques reales. La vulnerabilidad, bautizada como BlueHammer por el investigador que la reveló, permite a un atacante con acceso local escalar privilegios hasta NT AUTHORITY\SYSTEM, el nivel más alto de permisos en un sistema Windows.

CISA ha dado a las agencias federales un plazo de dos semanas, hasta el 7 de mayo, para aplicar el parche publicado por Microsoft el pasado 14 de abril.

Según el registro oficial en la Base de Datos Nacional de Vulnerabilidades (NVD), el fallo se clasifica con una severidad CVSS 3.1 de 7.8 (ALTO) y corresponde a un problema de insuficiente granularidad en el control de acceso (CWE-1220). El vector de ataque es local, requiere privilegios bajos y no necesita interacción del usuario. Las versiones afectadas de Microsoft Defender Antimalware Platform son todas las anteriores a 4.18.26030.3011. Microsoft confirmó que un atacante autorizado puede elevar sus privilegios localmente, lo que significa que cualquier cuenta de usuario con acceso básico al sistema puede convertirse en administrador total.

La historia detrás de BlueHammer revela tensiones crecientes entre investigadores independientes y el proceso de divulgación de Microsoft. Como documentó CiberBlog en su cobertura inicial, el investigador que opera bajo el alias Chaotic Eclipse publicó el código de explotación el 3 de abril tras frustrarse con las exigencias del equipo de respuesta de Microsoft. El PoC demostró que era posible spawnear un shell con privilegios SYSTEM desde una cuenta limitada en Windows 11 Build 10.0.26200.8037, accediendo posteriormente a la base de datos SAM donde Windows almacena los hashes de contraseñas de cuentas locales.

La confirmación de explotación activa proviene de Huntress Labs, que identificó actividad de "manos en el teclado" en entornos comprometidos durante la segunda semana de abril. Los investigadores detectaron acceso sospechoso a través de FortiGate SSL VPN con una IP de origen geolocalizada en Rusia, lo que indica que actores de amenaza ya estaban integrando BlueHammer en cadenas de ataque antes de que Microsoft publicara el parche.

Will Dormann, analista de vulnerabilidades en Tharros, confirmó la fiabilidad del exploit y advirtió que los recortes de personal en Microsoft han deteriorado la capacidad del equipo MSRC para gestionar reportes de forma eficiente.

Para organizaciones en LATAM, el riesgo es significativo aunque no inmediato para la mayoría. BlueHammer requiere acceso local, pero ese acceso inicial puede obtenerse mediante phishing, credenciales robadas o explotación de otras vulnerabilidades. Los grupos de ransomware frecuentemente integran exploits de escalada de privilegios públicos en sus cadenas de ataque dentro de los primeros días posteriores a la divulgación. El exploit publicado tiene algunos bugs que afectan su fiabilidad en Windows Server, donde solo logra permisos de administrador elevado en lugar de SYSTEM, pero un atacante determinado puede refinar el código.

La acción recomendada es actualizar Microsoft Defender a la versión 4.18.26030.3011 o posterior. En entornos corporativos, los equipos de seguridad deben verificar que los endpoints estén recibiendo las actualizaciones de firmas y plataforma de Defender de forma automática.

CISA recomienda priorizar la remediación de todas las vulnerabilidades del catálogo KEV como parte de las prácticas de gestión de vulnerabilidades, aunque el BOD 22-01 solo aplique obligatoriamente a agencias federales. Para sistemas donde la actualización inmediata no sea posible, se debe restringir al mínimo los permisos de cuentas locales y monitorear actividad anómala de escalada de privilegios en los endpoints.