CISA pone a la agencia del gobierno de EE. UU. en un plazo de dos semanas para parchear el exploit de día cero Microsoft Defender Bluehammer

CISA ha agregado Bluehammer, una falla de escalada de privilegios de Microsoft Defender, a su catálogo de vulnerabilidades explotables conocidas.
Las agencias federales deben parchar o suspender su uso antes del 6 de mayo, ya que los investigadores confirman la explotación activa en la naturaleza.
Esta revelación proviene de “Chaotic Eclipse”, quien también reveló otros dos Defender Zero-Days, con Huntress Labs vinculando los esfuerzos de explotación con una infraestructura global sospechosa.

Mientras la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó Bluehammer a su catálogo de vulnerabilidades explotables conocidas (KEV), el Poder Ejecutivo Civil Federal (FCEB) les dio a las agencias un plazo de dos semanas para eliminar gradualmente o dejar de usar el software vulnerable por completo.

Bluehammer se describe como una vulnerabilidad de “granularidad insuficiente del control de acceso en Microsoft Defender”, que permite a atacantes no autorizados elevar los privilegios localmente. Se está rastreando como CVE-2026-33825 y se le asignó una puntuación de gravedad de 7,8/10 (alta).

Fue revelado por primera vez a principios de abril de este año por un investigador de seguridad aparentemente descontento llamado “Chaotic Eclipse”. Revelaron la vulnerabilidad en su blog, como un día cero en ese momento, porque no estaban satisfechos con la forma en que Microsoft manejó las divulgaciones de vulnerabilidades.

El artículo continúa a continuación.

Redsun y Indefender

“No estaba engañando a Microsoft y lo estoy haciendo de nuevo”, dijeron, antes de compartir un repositorio de GitHub para Bluehammer.

Microsoft respondió que es “el cliente comprometido a investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para proteger a los clientes lo más rápido posible”.

“También apoyamos la divulgación integrada de vulnerabilidades, una práctica industrial ampliamente aceptada que respalda tanto a las comunidades de investigación de seguridad como de protección del cliente, ayudando a garantizar que los problemas se investiguen y resuelvan cuidadosamente antes de la divulgación pública”, dijo Microsoft.

Una semana después, el mismo investigador reveló otra vulnerabilidad de día cero en Microsoft Defender. Llamado RedSun, se describe como una falla de escalada de privilegios local que permite a los actores maliciosos privilegios del sistema en Windows 10, Windows 11 y las últimas versiones de Windows Server, donde Defender está habilitado.

También revelaron una tercera falla, llamada Undefend, que podría usarse como usuario estándar para bloquear las actualizaciones de definiciones de Defender.

Cuando CISA agrega una vulnerabilidad a KEV, significa que hay evidencia de que está siendo explotada activamente en la naturaleza. A las organizaciones FCEB se les ha dado tiempo hasta el 6 de mayo para aplicar el parche.

Al mismo tiempo, los investigadores de seguridad de Huntress Labs dijeron que han visto actores maliciosos explotando fallas en la naturaleza.

“Esta actividad parece ser parte de una intrusión mayor en lugar de una prueba de concepto (PoC) aislada”, dijo la compañía de ciberseguridad en un informe. “Huntrace vinculó el acceso sospechoso de FortiGate SSL VPN a entornos comprometidos, incluida una IP de origen geolocalizada en Rusia, con infraestructura sospechosa adicional observada en otras regiones”.

a través de Computadora pitando