Windows Defender bajo fuego: BlueHammer y RedSun explotados activamente desde el 16 de abril
5 min. de lectura
Windows Defender está bajo ataque activo desde el 16 de abril de 2026. Las dos vulnerabilidades de escalada de privilegios BlueHammer (CVE-2026-33825) y RedSun, reveladas durante el Patch Tuesday de abril, ya se están explotando en incidentes reales. Los atacantes encadenan los exploits con UnDefend para establecer persistencia, realizar volcado de credenciales, movimiento lateral y despliegue de ransomware. Para los equipos de seguridad de empresas de la región DACH, esto representa el nivel de urgencia más alto en meses.
Lo más importante en resumen
- Dos zero-days en Windows Defender. BlueHammer (CVE-2026-33825, parcheado el 14.04.) y el exploit RedSun publicado posteriormente apuntan ambos a la escalada de privilegios mediante una condición de carrera TOCTOU en el motor de corrección de amenazas.
- Explotación activa desde el 16.04. Los feeds de inteligencia de amenazas documentan campañas que encadenan BlueHammer, RedSun y UnDefend. El resultado: persistencia, volcado de credenciales, despliegue de ransomware y movimiento lateral.
- Patch Tuesday de abril con 167 correcciones. El paquete acumulativo de abril cierra 167 vulnerabilidades, incluidos dos zero-days. Quienes aún no hayan aplicado el parche estarán expuestos a la explotación en cuestión de días.
RelacionadoEl BSI alerta sobre F5 BIG-IP, Citrix y Trivy: pasos operativos / Manual de respuesta ante ransomware en 72 horas
Qué significan BlueHammer y RedSun desde el punto de vista técnico
¿Qué es BlueHammer? BlueHammer es el nombre público de la CVE-2026-33825 de zero-day en Windows Defender. Técnicamente se trata de una condición de carrera TOCTOU (Time-of-Check to Time-of-Use) en el motor de corrección de amenazas. Un atacante local aprovecha la ventana de tiempo entre la verificación y el procesamiento de un archivo clasificado como malicioso para elevar sus propios privilegios al nivel SYSTEM.
El exploit se publicó el 7 de abril de 2026, antes de que Microsoft hubiera desplegado un parche. El Patch Tuesday de abril (14.04.) cerró CVE-2026-33825. Dos días después, el mismo investigador publicó un segundo exploit, RedSun, que según el propio autor pretendía ser una protesta contra el proceso de divulgación de Microsoft. RedSun aprovecha una vulnerabilidad relacionada que no fue abordada completamente en el parche de abril. UnDefend, por su parte, es una herramienta complementaria que elude el propio sistema de monitorización de Defender.
Por qué los atacantes lo han operacionalizado tan rápidamente
La combinación de BlueHammer más RedSun más UnDefend es casi perfecta desde la perspectiva del atacante. La ruta de escalada de privilegios local funciona en la gran mayoría de los endpoints Windows que no han sido completamente parcheados en los últimos 14 días. Los atacantes eluden la telemetría EDR porque UnDefend neutraliza los componentes de detección. A continuación, vuelcan credenciales de LSASS, se mueven lateralmente y despliegan su carga útil, generalmente ransomware.
Los feeds de inteligencia de amenazas de Europa y Estados Unidos vienen reportando incidentes de forma consistente desde el 16 de abril en los sectores financiero, sanitario e industrial. El BSI no ha emitido hasta ahora ninguna advertencia oficial con un advisory propio; la coordinación se canaliza a través de CERT-Bund hacia los sectores afectados. Las próximas 48 a 72 horas decidirán la amplitud de la oleada. Grupos de ransomware con vínculos con Rusia habrían integrado ya la combinación en sus kits de ataque, según varios proveedores de inteligencia de amenazas, lo que acelera su propagación.
El caso ilustra lo cerca que están en 2026 el ciclo de divulgación y la explotación activa. Entre la publicación pública de una prueba de concepto y la primera campaña activa han transcurrido en este caso aproximadamente nueve días. Hace tres años, el plazo era de tres a seis semanas. La reducción de esa ventana temporal plantea interrogantes fundamentales a los procesos clásicos de gestión de parches. Los parches fuera de banda y las pipelines de despliegue automatizadas ya no son características de lujo, sino una necesidad operativa.
Qué deben hacer los equipos de seguridad en las próximas 72 horas
Prioridades inmediatas
- Verificar el estado de parches en todos los endpoints Windows
- Forzar el Patch Tuesday de abril, también en clientes rezagados
- Revisar la telemetría EDR en busca de paradas del servicio Defender
- Recuperar el playbook de respuesta a incidentes del archivo
Refuerzo a medio plazo
- Hardening de hosts contra LSASS-Dumping (Credential Guard)
- Activar alertas sobre indicadores UnDefend en el SIEM
- Revisar los controles de movimiento lateral (segmentación)
- Evaluar un segundo EDR junto a Defender para Defense-in-Depth
La medida inmediata más importante es la tasa de parcheo. El Patch Tuesday de abril sigue en fase de despliegue en muchas organizaciones, ya que las oleadas de distribución requieren entre 7 y 14 días. En el escenario de amenazas actual, ese ciclo es demasiado largo. Los CISO deben coordinarse con el equipo de gestión de clientes para lanzar una oleada extraordinaria que fuerce el rollup de abril en todos los endpoints. Quien siga en el nivel de parches de marzo tiene un problema urgente.
Paralelamente a la oleada de parches, conviene ejecutar un hunting-run sobre la telemetría de endpoints. Las paradas del servicio Defender, los accesos inesperados a LSASS y los procesos SYSTEM anómalos son las señales que permiten detectar a los atacantes en este momento. Los clientes de Sentinel disponen de reglas de análisis predefinidas para ello; CrowdStrike ha activado detecciones IOA en la actualización de abril. Para equipos sin un threat-hunter dedicado, un barrido de dos horas sobre los últimos siete días es suficiente para aislar patrones sospechosos.
Por último, un aspecto organizativo de importancia. BlueHammer y RedSun han demostrado que en 2026 la publicación de exploits antes que los parches será más frecuente. La cadencia clásica del Patch Tuesday ya no es suficiente garantía. Los equipos de seguridad deben acordar con la gestión de clientes y la dirección una norma extraordinaria que permita despliegues de parches fuera de banda ante zero-days explotados activamente. Quien no haya documentado esa decisión con antelación perderá días en la coordinación que simplemente no puede permitirse.
Preguntas frecuentes
¿Cómo detecto ataques con BlueHammer o RedSun?
Los indicadores de compromiso incluyen paradas inusuales del servicio Defender, procesos inesperados a nivel SYSTEM con procesos padre en sesiones de usuario y accesos reiterados a LSASS poco después de eventos de inicio de sesión. Proveedores de threat intelligence como CrowdStrike, Microsoft Defender for Endpoint y Sentinel han incorporado estos patrones en sus reglas actuales. Realizar una búsqueda personalizada en el SIEM sobre estas firmas resulta muy recomendable en este momento.
¿Qué hacer si el parche de abril aún no se ha desplegado en la organización?
Acelerar de inmediato la oleada de despliegue. Los tiempos de rollout estándar no se ajustan a la situación actual. Si el parche se ha retrasado por motivos de compatibilidad, los avisos de Microsoft describen mitigaciones temporales. Adicionalmente, reforzar la segmentación de red y el acceso Zero-Trust en los puntos críticos.
¿Afecta el ataque también a servidores o solo a clientes Windows?
Principalmente a clientes, ya que la ruta de ataque requiere una sesión de usuario. Sin embargo, los servidores Windows con inicio de sesión interactivo o Terminal Services también están en el ámbito de riesgo. Defender for Servers y sus equivalentes en Azure cuentan con los parches correspondientes, aunque la priorización en los rollouts de servidores suele ser inferior a la de los clientes.
Más de la red MBF Media
Fuente imagen de portada: Pexels / Tima Miroshnichenko (px:5380664)
