Investigador publica exploit de vulnerabilidad día cero en Microsoft Defender que otorga privilegios de sistema
Un investigador de seguridad conocido como "Chaotic Eclipse" publicó el 18 de abril de 2026 una prueba de concepto de exploit para una segunda vulnerabilidad día cero en Microsoft Defender, denominada "RedSun", que permite escalar privilegios locales hasta nivel SYSTEM en Windows 10, Windows 11 y Windows Server completamente actualizados con los parches de abril, según reportó BleepingComputer. El investigador publicó el exploit en protesta por el trato que recibió del Centro de Respuesta de Seguridad de Microsoft.
La vulnerabilidad RedSun es un fallo de escalada de privilegios locales que afecta a sistemas Windows con Microsoft Defender habilitado, incluso después de aplicar las actualizaciones de seguridad más recientes del Patch Tuesday de abril de 2026, según confirmó Will Dormann, analista principal de vulnerabilidades en Tharros, a BleepingComputer.
El exploit aprovecha un comportamiento defectuoso en la forma en que Windows Defender maneja archivos maliciosos con etiquetas de nube. "Cuando Windows Defender se da cuenta de que un archivo malicioso tiene una etiqueta de nube, por alguna razón estúpida e hilarante, el antivirus que se supone debe proteger decide que es buena idea simplemente reescribir el archivo que encontró nuevamente en su ubicación original", explicó Chaotic Eclipse en la publicación del exploit.
Dormann proporcionó detalles técnicos sobre el funcionamiento del exploit: "Este exploit usa la 'API de archivos en la nube', escribe EICAR en un archivo usándola, utiliza un oplock para ganar una carrera de copia de volumen en la sombra, y usa una unión de directorio/punto de reanálisis para redirigir la reescritura del archivo (con nuevo contenido) a C:\Windows\system32\TieringEngineService.exe", escribió en un hilo en Mastodon. "En este punto, la infraestructura de archivos en la nube ejecuta el TieringEngineService.exe plantado por el atacante (que es el propio exploit RedSun.exe) como SYSTEM. Fin del juego".
La prueba de concepto abusa de este comportamiento para sobrescribir archivos del sistema y obtener privilegios administrativos completos. Dormann confirmó que el exploit funciona en Windows 10, Windows 11 y Windows Server 2019 y versiones posteriores completamente actualizados.
Algunos proveedores de antivirus en VirusTotal están detectando el exploit porque el ejecutable contiene un archivo de prueba EICAR embebido, según Dormann. Sin embargo, el investigador logró reducir las detecciones cifrando la cadena EICAR dentro del ejecutable. El investigador de seguridad Kevlar compartió un análisis técnico más detallado sobre esta vulnerabilidad.
Esta es la segunda vulnerabilidad día cero de Microsoft Defender que Chaotic Eclipse publica en dos semanas. La semana anterior, el investigador divulgó un exploit para una vulnerabilidad diferente de escalada de privilegios locales denominada "BlueHammer", que ahora está rastreada como CVE-2026-33825. Microsoft corrigió ese fallo como parte de las actualizaciones de seguridad del Patch Tuesday de este mes.
El investigador justificó la publicación de ambos exploits día cero como una protesta contra la forma en que Microsoft trabaja con investigadores de seguridad que divulgan vulnerabilidades al Centro de Respuesta de Seguridad de Microsoft (MSRC). "Normalmente, pasaría por el proceso de rogarles que corrijan un error, pero para resumir, me dijeron personalmente que arruinarían mi vida y lo hicieron, y no estoy seguro si fui el único que tuvo esta horrible experiencia o si algunas personas la tuvieron, pero creo que la mayoría simplemente lo aceptaría y reduciría sus pérdidas, pero para mí, me quitaron todo", alegó el investigador.
"Me pasaron por encima y jugaron todos los juegos infantiles que pudieron. Fue tan malo que en algún momento me preguntaba si estaba tratando con una corporación masiva o con alguien que simplemente se divierte viéndome sufrir, pero parece ser una decisión colectiva", añadió Chaotic Eclipse. BleepingComputer contactó al investigador para obtener más detalles sobre su interacción con el MSRC.
Ante las consultas sobre estos presuntos problemas, Microsoft proporcionó una declaración a BleepingComputer: "Microsoft tiene un compromiso con los clientes de investigar los problemas de seguridad reportados y actualizar los dispositivos afectados para proteger a los clientes lo antes posible. También apoyamos la divulgación coordinada de vulnerabilidades, una práctica ampliamente adoptada en la industria que ayuda a garantizar que los problemas se investiguen y aborden cuidadosamente antes de la divulgación pública, apoyando tanto la protección del cliente como la comunidad de investigación de seguridad", dijo un portavoz de Microsoft.
La publicación de exploits día cero funcionales antes de que existan parches disponibles representa un riesgo significativo para los usuarios de Windows, ya que actores maliciosos podrían utilizar estas herramientas para comprometer sistemas. La escalada de privilegios a nivel SYSTEM otorga control total sobre un equipo Windows, permitiendo a un atacante instalar programas, ver y modificar datos, y crear nuevas cuentas con derechos completos.
Microsoft no ha anunciado cuándo lanzará un parche para la vulnerabilidad RedSun. La compañía típicamente publica actualizaciones de seguridad el segundo martes de cada mes durante su Patch Tuesday, aunque puede emitir parches fuera de banda para vulnerabilidades críticas que están siendo explotadas activamente.
