AIO APEX
Security

Las zero-days de Windows ya se explotan en ataques reales

BleepingComputer
Compartir:
Las zero-days de Windows ya se explotan en ataques reales

Tres fallos de seguridad de Windows revelados recientemente ya pasaron de la prueba de concepto a ataques reales, según nuevos hallazgos de Huntress. Eso importa porque dos de los problemas siguen sin un parche completo de Microsoft, mientras que el tercero acaba de ser corregido en las actualizaciones de abril.

Qué están usando los atacantes

La actividad gira en torno a tres técnicas de explotación publicadas por un investigador que criticó en público el proceso de divulgación de Microsoft. Dos de ellas apuntan a Microsoft Defender para lograr una elevación local de privilegios y la tercera puede bloquear las actualizaciones de firmas de Defender desde una cuenta de usuario estándar.

Huntress dice que ya vio las tres técnicas en uso real. En una intrusión observada, los exploits aparecieron junto con actividad manual del atacante después de comprometer una cuenta de SSL VPN.

Por qué es una noticia de seguridad importante

El punto clave no es solo que el código sea público, sino que los atacantes ya lo están incorporando a operaciones reales. Uno de los fallos, identificado como CVE-2026-33825 y apodado BlueHammer, ya fue corregido. Los otros dos, conocidos como RedSun y UnDefend, siguen sin resolverse.

Eso deja a los defensores en una situación incómoda. Incluso las organizaciones que aplican rápidamente Patch Tuesday pueden seguir en riesgo si los atacantes encadenan estas técnicas tras el acceso inicial, sobre todo en sistemas donde Microsoft Defender está habilitado por defecto.

Qué deberían hacer ahora los administradores

Los equipos de seguridad deben tratar esto como un riesgo activo de elevación de privilegios, no como un ejercicio teórico. Entre las prioridades están revisar alertas recientes en endpoints, endurecer los puntos de entrada remota como las cuentas VPN y vigilar indicios de manipulación de Defender o elevaciones inesperadas a SYSTEM.

Hasta que Microsoft publique parches para los problemas pendientes, la visibilidad y la contención importan más que nunca. Para los administradores de Windows, este es uno de esos momentos en los que reforzar la identidad y la monitorización de endpoints puede marcar la diferencia entre un incidente contenido y un compromiso mucho más profundo.

cybersecuritywindowszero-daymicrosoft-defenderprivilege-escalation

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartir: