La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) confirmó que grupos de ransomware han comenzado a explotar una vulnerabilidad de escalamiento de privilegios de alta gravedad en Microsoft Defender, que ya había sido utilizada en ataques de día cero.
La vulnerabilidad, identificada como BlueHammer (CVE-2026-33825), fue difundida a principios de abril por un investigador de seguridad conocido como «Nightmare Eclipse», junto con código de prueba de concepto para su explotación, en protesta por la forma en que el Centro de Respuesta de Seguridad de Microsoft (MSRC) maneja el proceso de divulgación.
Microsoft explicó en un aviso de seguridad que «la insuficiente granularidad del control de acceso en Microsoft Defender permite que un atacante autorizado eleve sus privilegios localmente».
Will Dormann, analista principal de vulnerabilidades en Tharros, indicó que aunque la vulnerabilidad no es sencilla de explotar, permite a los atacantes locales acceder a la base de datos del Administrador de Cuentas de Seguridad (SAM), que almacena los hashes de las contraseñas de las cuentas locales.
Con este acceso, los atacantes pueden escalar a privilegios de SYSTEM y potencialmente tomar control total del sistema objetivo. Según Dormann, «en ese momento, [los atacantes] básicamente controlan el sistema y pueden hacer cosas como generar una shell con privilegios de SYSTEM».
Microsoft corrigió la vulnerabilidad el 14 de abril como parte de la actualización de seguridad de abril de 2026. Sin embargo, días después, investigadores de seguridad de Huntress Labs revelaron que ciberdelincuentes la habían estado explotando como una vulnerabilidad de día cero en ataques que mostraban evidencia de actividad directa del atacante.
Durante los últimos meses, Nightmare Eclipse ha divulgado múltiples exploits de día cero para Windows, incluyendo las vulnerabilidades BlueHammer (CVE-2026-33825), MiniPlasma, RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey, RoguePlanet (CVE-2026-50656) y GreenPlasma. Algunas de estas vulnerabilidades afectan a Microsoft Defender, mientras que otras tienen como objetivo BitLocker y componentes de Windows. Todas estas vulnerabilidades ya han sido parcheadas por Microsoft.
Microsoft corrigió las vulnerabilidades GreenPlasma, MiniPlasma y YellowKey hace tres semanas como parte de las actualizaciones de seguridad de junio de 2026.
La CISA añadió la vulnerabilidad BlueHammer a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 22 de abril, ordenando que se actualizaran los dispositivos Windows para protegerse contra los ataques en curso de la vulnerabilidad CVE-2026-33825 en un plazo de dos semanas, hasta el 7 de mayo.
Si bien Microsoft aún no ha identificado esta vulnerabilidad como explotada en ataques, la CISA también la ha señalado como explotada en campañas de ransomware en una actualización del Catálogo KEV publicada el lunes.
Con Información de blog.segu-info.com.ar
