Vulnerabilidade zero-day en Microsoft Defender “RedSun” permite acceso completo a nivel de sistema (SYSTEM)

microsoft defender
Empresas
Cidadanía
Administración Pública
Microsoft
Vulnerabilidades
Nivel de alerta
Crítico

Na actualidade, a vulnerabilidade permanece sen parche dispoñible.

RedSun explota un fallo lóxico no mecanismo de xestión de ficheiros na nube de Windows Defender, concretamente no uso da API Cloud Files (cldapi.dll).

O comportamento vulnerable consiste en que Defender, ao detectar un ficheiro malicioso con etiqueta cloud, reescribe o ficheiro na súa localización orixinal, en lugar de eliminalo ou poñelo en corentena.

O exploit aproveita este comportamento para redirixir escrituras cara a rutas críticas do sistema.

Cadea de explotación

  1. O atacante escribe un ficheiro EICAR empregando a API Cloud Files (cldapi.dll)
  2. Utilízase un oplock (opportunistic lock) para pausar a operación de restauración
  3. Empreganse NTFS junctions e reparse points para redirixir a ruta
  4. A escritura rediríxese a C:\Windows\System32
  5. Defender retoma a operación e sobrescribe un binario crítico (por exemplo, TieringEngineService.exe)
  6. O atacante executa o binario modificado con privilexios SYSTEM 

Impacto

  • Escalada de privilexios local a SYSTEM
  • Compromiso completo do sistema
  • Persistencia mediante modificación de binarios críticos
  • Posible evasión de controis de seguridade 

Sistemas afectados

  • Windows 10 (todas as versións soportadas)
  • Windows 11 (todas as versións soportadas)
  • Windows Server 2019, 2022 e 2025 

O exploit funciona con alta fiabilidade mesmo en sistemas completamente parcheados (abril de 2026).

Relación con outras vulnerabilidades

  • CVE-2026-33825 (BlueHammer) xa foi corrixida no Patch Tuesday de abril de 2026
  • RedSun introduce un vector independente, o que suxire debilidades estruturais en Defender 

Clasificación

  • Tipo: Local Privilege Escalation (LPE)
  • CWE: Insufficient Granularity of Access Control 

Mapeo MITRE ATT&CK:

  • TA0004 Privilege Escalation
  • T1068 Exploitation for Privilege Escalation 

Estado actual

  • Sen parche dispoñible
  • Proba de concepto non publicada completamente, pero metodoloxía documentada
  • Funcionamento confirmado en contornas reais
  • Segunda vulnerabilidade crítica publicada nun curto intervalo polo mesmo investigador (Chaotic Eclipse / Nightmare-Eclipse) 

Recomendacións técnicas

  • Monitorizar actividade relacionada con cldapi.dll
  • Detectar escrituras anómalas en C:\Windows\System32
  • Alertar sobre uso de NTFS junctions e reparse points
  • Detectar uso de oplocks en procesos non habituais
  • Correlacionar execución de binarios do sistema recentemente modificados
  • Implementar controis EDR para detectar manipulación de rutas 

Gobernanza e control do risco

Este caso evidencia un problema máis profundo ca unha vulnerabilidade illada:

  • Dependencia excesiva de lóxica automatizada en compoñentes críticos
  • Falta de controis robustos en operacións privilexiadas
  • Riscos derivados da integración con servizos cloud 

Áreas impactadas:

  • Seguridade de endpoint
  • Arquitectura de sistemas operativos
  • Xestión de vulnerabilidades
  • Detección e resposta 

Lectura estratéxica

Non se trata dun fallo puntual, senón dun patrón:

a combinación de lóxica automatizada, privilexios elevados e manipulación de rutas crea superficies de ataque difíciles de controlar.

Este tipo de vulnerabilidades reforza unha idea clave:

os mecanismos de seguridade complexos tamén poden ampliar a superficie de ataque se non están deseñados cun control estrito de contexto e privilexios.