Tener un antivirus es esencial para salvaguardar la seguridad de los dispositivos. Hay numerosas alternativas y una de las más reconocidas es Windows Defender. Sin embargo, en este artículo exploraremos cómo ciertas vulnerabilidades pueden convertir al antivirus de Windows en una herramienta peligrosa, facilitando ataques a los usuarios. Te proporcionaremos algunas recomendaciones sobre cómo actuar y reforzar tu protección.
En concreto, como se detalla en el medio Dark Reading, se han identificado tres exploits de prueba de concepto que están siendo utilizados en ataques activos contra este antivirus de Windows. Además, dos de estos tres exploits aún no han sido actualizados, lo que representa un problema significativo que, por el momento, carece de solución.
Exploits dirigidos al antivirus de Windows
Un investigador de seguridad conocido como Nightmare-Eclipse ha sido el responsable de hacer públicas estas pruebas de concepto, después de intentar reportarlas a Microsoft sin recibir una respuesta adecuada.
Uno de estos exploits se llama BlueHammer y explota una vulnerabilidad de día cero identificada como CVE-2026-33825. Según una publicación del 20 de abril de Vectra.ai, un proveedor de soluciones de seguridad, “Defender identifica un archivo sospechoso, decide sobrescribirlo y un atacante se aprovecha de una condición de carrera que desvía dicha sobrescritura hacia una ubicación deseada”. Esto permite a los atacantes acceder al sistema.
Para esta vulnerabilidad hay un parche disponible, ya que Microsoft lanzó una actualización en los parches de abril. Por lo tanto, es vital que utilices la última versión disponible para asegurar tu protección.
La segunda vulnerabilidad se llama RedSun. Funciona de manera similar a BlueHammer, enfocándose en TieringEngineService.exe, un proceso en segundo plano del antivirus de Windows que clasifica y prioriza las amenazas detectadas. Según Vectra.ai, un atacante solo necesita utilizar una cadena de prueba EICAR integrada para activar esta vulnerabilidad. Este problema afecta a Windows 10, Windows 11 y Windows Server 2019.
El tercer exploit es UnDefend, que un atacante puede utilizar tras haber obtenido acceso a SYSTEM mediante BlueHammer o RedSun.
Actualización crítica para .NET
Por otro lado, Microsoft ha lanzado una actualización crítica para .NET 10.0.7. Este parche corrige una vulnerabilidad que permite la elevación de privilegios, surgida tras una actualización rutinaria del sistema. Este fallo ha sido catalogado como CVE-2026-40372, y tiene una puntuación de 9.1 en la escala CVSS 3.1, lo que lo convierte en un problema crítico.
Dicho fallo afecta a las versiones 10.0.0 a 10.0.6 del paquete Microsoft.AspNetCore.DataProtection. Si usas alguna de estas versiones, es crucial que actualices a la más reciente para evitar problemas que puedan comprometer tu seguridad y privacidad.
Como puedes ver, es fundamental mantener siempre las versiones más recientes, ya que esto ayuda a corregir vulnerabilidades. Sin embargo, en ocasiones, puede haber inconvenientes con una nueva actualización, por lo que es necesario estar atento a posibles soluciones adicionales que puedan surgir, como ha ocurrido en este caso. Esto es aplicable sin importar el sistema operativo que uses.
Preguntas frecuentes
¿Qué es BlueHammer y cómo me afecta?
BlueHammer es un exploit que utiliza la vulnerabilidad CVE-2026-33825 en Windows Defender. Permite a un atacante redirigir la sobrescritura de archivos sospechosos a una ubicación elegida, obteniendo así acceso al sistema. Microsoft ya ha lanzado un parche en las actualizaciones de abril.
¿Qué debo hacer para protegerme de estos fallos?
Lo primero es asegurarte de que tu sistema Windows esté actualizado con los parches de abril de 2026. Para ello, dirígete a Configuración > Actualización y seguridad > Windows Update y verifica si hay actualizaciones pendientes. BlueHammer ya cuenta con un parche, pero RedSun y UnDefend aún no tienen solución.
¿Qué es RedSun y por qué representa un riesgo?
RedSun es un exploit que ataca el proceso TieringEngineService.exe de Windows Defender, encargado de clasificar y priorizar amenazas. Un atacante puede activarlo utilizando una cadena de prueba EICAR integrada. Afecta a Windows 10, Windows 11 y Windows Server 2019. Actualmente, no hay un parche disponible.
