El PoC público aprovecha un fallo lógico en la remediación de archivos cloud de Defender. Permite a cualquier usuario sin privilegios escalar a SYSTEM en Windows 10/11 con parches de abril aplicados.
Un investigador que se identifica como "Chaotic Eclipse" publicó el 16 de abril un proof-of-concept funcional para una vulnerabilidad zero-day en Microsoft Defender que permite escalar privilegios hasta nivel SYSTEM en sistemas Windows totalmente parchados. El exploit, bautizado como "RedSun", aprovecha un fallo lógico en el motor de remediación del antivirus y afecta Windows 10, Windows 11 y Windows Server 2019 en adelante, incluso con las actualizaciones de seguridad de abril ya aplicadas. BleepingComputer confirmó con Will Dormann, analista de vulnerabilidades de Tharros, que el exploit funciona de manera consistente en entornos de prueba.
El mecanismo de ataque explota una comportamiento contraintuitivo del motor de protección de Microsoft, cuando Defender detecta un archivo malicioso etiquetado con metadatos de servicios en la nube, como los utilizados por OneDrive, intenta restaurarlo a su ubicación original sin validar si esa ruta ha sido redirigida mediante un junction point. Según el análisis técnico de CloudSEK, un atacante puede manipular esta ventana de oportunidad usando un OPLOCK por lotes para ganar la carrera contra Volume Shadow Copy, sustituir el directorio objetivo con un mount point reparse hacia C:\Windows\System32 y lograr que Defender escriba un binario arbitrario directamente en la carpeta del sistema. El archivo malicioso luego se ejecuta como SYSTEM a través del servidor COM de Storage Tiers Management.
El investigador detrás de RedSun afirma haber publicado el exploit como protesta por el trato recibido por parte del Microsoft Security Response Center (MSRC) durante un proceso de divulgación previo. En declaraciones recogidas por los medios, "Chaotic Eclipse" denunció amenazas y represalias por parte de Microsoft cuando intentó reportar vulnerabilidades de forma responsable.
Esta no es la primera vez que este investigador expone fallas en Defender, apenas una semana antes había publicado BlueHammer, otro zero-day de escalada de privilegios que Microsoft terminó parchando como CVE-2026-33825 en el Patch Tuesday de abril con un CVSS de 7.8. RedSun, sin embargo, permanece sin parche a la fecha de publicación.
Lo que convierte a RedSun en una amenaza particularmente urgente es que ya se ha observado explotación activa en entornos reales. Investigadores de Huntress reportaron que detectaron el uso de los exploits BlueHammer, RedSun y una tercera técnica denominada "UnDefend", que permite bloquear las actualizaciones de firmas de Defender, en ataques contra una organización.
Los atacantes desplegaron los archivos exploit en las carpetas Pictures y Downloads del usuario, ejecutaron comandos de reconocimiento para mapear privilegios y credenciales almacenadas y exploraron la estructura de Active Directory antes de lanzar los exploits. Aunque Huntress logró aislar la organización afectada, el incidente demuestra que las técnicas están siendo weaponized activamente.
Para las organizaciones en LATAM, el riesgo es significativo: Microsoft Defender viene habilitado por defecto en prácticamente todos los endpoints Windows corporativos y la posibilidad de que un usuario sin privilegios administrativos escale a SYSTEM sin necesidad de exploits de kernel representa un vector de ataque de bajo costo para actores de amenaza.
Los equipos de seguridad deben monitorear la aparición de ejecutables sospechosos en carpetas de usuario, revisar logs de ejecución de servicios del sistema y mantenerse atentos a un posible parche fuera de ciclo por parte de Microsoft. Mientras tanto, soluciones EDR de terceros podrían ofrecer detección adicional, aunque la naturaleza del exploit, que abusa del propio antivirus— dificulta las mitigaciones tradicionales.
FUENTE ORIGINAL
BleepingComputer↗CURADO POR
Alejandro Vargas