El botón de «desactivar el antivirus» ahora está en manos de los hackers — y Microsoft aún no sabe cómo actuar.
Cibercriminales comenzaron a explotar masivamente nuevas vulnerabilidades de Windows para tomar el control de ordenadores.
En la red aparecieron exploits funcionales para vulnerabilidades de Windows que hasta hace poco se consideraban "días cero". Los atacantes no esperaron a las correcciones y ya los están usando para obtener el control total del sistema.
Se trata de tres problemas de seguridad que a principios de abril publicó un especialista bajo los seudónimos Chaotic Eclipse y Nightmare-Eclipse. Así reaccionó al trabajo del centro de respuesta a incidentes de seguridad Microsoft Security Response Center al divulgar las vulnerabilidades. Junto con la descripción aparecieron exploits de demostración aptos para ataques reales.
Dos vulnerabilidades, denominadas BlueHammer y RedSun, permiten elevar privilegios en Microsoft Defender y obtener derechos de administrador o del nivel SYSTEM. La tercera, UnDefend, ofrece a un usuario normal la posibilidad de bloquear las actualizaciones de las bases antivirus, desconectando efectivamente la protección.
En el momento de la publicación ninguna de las fallas había sido corregida, por eso se consideraban vulnerabilidades de día cero. Ahora está claro que los atacantes se ocuparon rápidamente del asunto. Los especialistas de Huntress Labs registraron ataques en los que se utilizaron los tres exploits, y BlueHammer empezaron a emplearse desde el 10 de abril.
Además, UnDefend y RedSun se encontraron en un equipo con Windows comprometido al que accedieron mediante una cuenta SSLVPN comprometida. Las huellas indican acciones manuales del atacante: el ataque no se desarrolló de forma automática — lo controló directamente una persona. Ahora la situación ha cambiado parcialmente. La vulnerabilidad CVE-2026-33825 corresponde a BlueHammer y se cerró en las actualizaciones de seguridad de abril. Sin embargo, RedSun y UnDefend aún permanecen sin correcciones.
RedSun parece especialmente peligrosa. El exploit funciona en Windows 10, Windows 11 y Windows Server 2019 y versiones posteriores, si Defender de Windows está activado. El mecanismo de ataque se basa en un comportamiento extraño del antivirus. Cuando Defender detecta un archivo malicioso con una "etiqueta en la nube", puede volver a escribir el archivo en su ubicación original. El atacante aprovecha esta característica para reemplazar archivos del sistema y obtener los privilegios máximos.
Microsoft declaró que continúa analizando los informes sobre vulnerabilidades y se esfuerza por publicar actualizaciones lo antes posible. La compañía también recordó la práctica de divulgación coordinada, según la cual los detalles de las vulnerabilidades se publican solo después de que se preparen las correcciones.