Vulnerabilidad zero-day en Microsoft Defender “RedSun” permite acceso completo a nivel (SYSTEM)

microsoft defender
Empresas
Ciudadanía
Administración pública
Microsoft
Vulnerabilidades
Nivel de alerta
Crítico

Actualmente, la vulnerabilidad permanece sin parche.

 

RedSun” explota un fallo lógico en el mecanismo de gestión de archivos en la nube de Windows Defender, específicamente en el uso de la API Cloud Files (cldapi.dll).

El comportamiento vulnerable consiste en que Defender, al detectar un archivo malicioso con etiqueta cloud, reescribe el archivo en su ubicación original, en lugar de simplemente eliminarlo o aislarlo.

El exploit encadena este comportamiento para redirigir escrituras hacia rutas críticas del sistema.

Cadena de explotación

  1. El atacante escribe un archivo EICAR usando la API Cloud Files (cldapi.dll)
  2. Se utiliza un oplock (opportunistic lock) para pausar la operación de restauración
  3. Se emplean NTFS junctions y reparse points para redirigir la ruta
  4. La escritura se redirige a C:\Windows\System32
  5. Defender reanuda la operación y sobrescribe un binario crítico (ej. TieringEngineService.exe)  
  6. El atacante ejecuta el binario modificado con privilegios SYSTEM 

Impacto

  • Escalada de privilegios local a SYSTEM
  • Compromiso total del sistema
  • Persistencia mediante modificación de binarios críticos
  • Posible bypass de controles de seguridad 

Sistemas afectados

  • Windows 10 (todas las versiones soportadas)
  • Windows 11 (todas las versiones soportadas)
  • Windows Server 2019, 2022 y 2025 

El exploit funciona con alta fiabilidad incluso en sistemas completamente parcheados (abril 2026).

Relación con otras vulnerabilidades

  • CVE-2026-33825 (BlueHammer) ya fue corregida en Patch Tuesday de abril 2026
  • RedSun introduce un vector completamente distinto, lo que sugiere debilidades estructurales en Defender 

Clasificación

  • Tipo: Local Privilege Escalation (LPE)
  • CWE: Insufficient Granularity of Access Control
  • MITRE ATT&CK:
    • TA0004 Privilege Escalation
    • T1068 Exploitation for Privilege Escalation 

Estado actual

  • Sin parche disponible
  • PoC no publicado completamente, pero metodología documentada
  • Confirmado funcionamiento en entornos reales
  • Segunda vulnerabilidad crítica publicada en corto intervalo por el mismo investigador (Chaotic Eclipse / Nightmare-Eclipse) 

Recomendaciones técnicas

  • Monitorizar actividad relacionada con cldapi.dll
  • Detectar escrituras anómalas en C:\Windows\System32
  • Alertar sobre uso de NTFS junctions y reparse points
  • Detectar uso de oplocks en procesos no habituales
  • Correlacionar ejecución de binarios del sistema recientemente modificados
  • Implementar controles EDR para detectar manipulación de rutas 

Gobernanza y control del riesgo

Este caso evidencia un problema más profundo que una vulnerabilidad aislada:

  • Dependencia excesiva de lógica automatizada en componentes críticos
  • Falta de controles robustos en operaciones privilegiadas
  • Riesgos derivados de integración con servicios cloud 

Áreas impactadas:

  • Seguridad de endpoint
  • Arquitectura de sistemas operativos
  • Gestión de vulnerabilidades
  • Detección y respuesta 

Lectura estratégica

No se trata de un fallo puntual sino de un patrón:

la combinación de lógica automatizada + privilegios elevados + manipulación de rutas crea superficies de ataque difíciles de controlar.

Este tipo de vulnerabilidades refuerza una idea clave:

los mecanismos de seguridad complejos también amplían la superficie de ataque si no están diseñados con control estricto de contexto y privilegios.