Un investigador de seguridad filtró herramientas que explotan una vulnerabilidad de día cero en Windows Defender. Lo hizo tras un enfrentamiento público con Microsoft, que según él ignoró el problema. Los hackers no tardaron ni un día en aprovecharlas.
El fallo afecta a Windows 10, Windows 11 y Windows Server 2019, y reside en el mecanismo de restauración de archivos del antivirus. En la práctica, un atacante puede engañar a Defender justo cuando intenta limpiar un archivo malicioso y ejecutar código con privilegios de sistema. Todo esto con el antivirus activado, que es lo irónico del asunto.
Cómo funciona la vulnerabilidad de día cero en Windows Defender
El investigador, que opera bajo el seudónimo de Chaotic Eclipse, descubrió que el proceso de limpieza de Defender tiene un punto ciego. Con un documento diseñado para disparar la alarma del antivirus, se puede intervenir en el momento exacto en que Defender restaura archivos. Ahí se cuela el código malicioso.
Chaotic Eclipse reportó el fallo a Microsoft a través del MSRC (Centro de Respuesta de Seguridad de Microsoft), el canal oficial para este tipo de hallazgos. Según el investigador, la respuesta fue tibia: Microsoft no consideró la gravedad real del problema.
RedSun funciona de forma fiable, con una tasa de éxito aproximada del 100%, para escalar privilegios desde un usuario sin privilegios a privilegios de sistema en Windows 11 y Windows Server 2019 y versiones posteriores – Will Dormann, experto en seguridad
Ante la falta de acción, Chaotic Eclipse decidió forzar la mano; a principios de abril lanzó BlueHammer, un primer exploit público. Cuando vio que Microsoft seguía sin reaccionar con la urgencia esperada, publicó dos herramientas más: RedSun y UnDefend. Esta última es especialmente peligrosa porque permite bloquear las actualizaciones de Windows Defender o directamente deshabilitarlo por completo.
Ataques reales contra empresas en cuestión de horas
Lo preocupante no es solo la existencia de estas herramientas, sino la velocidad con la que se utilizaron. Ese mismo día, la firma de seguridad Huntress confirmó que hackers ya estaban usando los exploits de Chaotic Eclipse en ataques reales contra empresas. Todo el arsenal sigue disponible en GitHub, accesible para cualquiera.
Microsoft corrigió parcialmente el problema con la actualización de abril de 2026, tapando la vía de BlueHammer. Pero los vectores de ataque de RedSun y UnDefend siguen abiertos. No hay parche para ellos a día de hoy.
La situación deja un panorama bastante incómodo para los administradores de sistemas. El propio antivirus que debería proteger los equipos se ha convertido en la puerta de entrada, y las herramientas para explotarlo están a un clic de distancia. Hasta que Microsoft publique un parche completo, la recomendación pasa por monitorizar cualquier comportamiento anómalo de Defender y aplicar capas adicionales de protección en entornos corporativos.