Microsoft Defender expuesto a un segundo zero-day: el exploit «RedSun» pone en jaque su seguridad

Introducción

En las últimas semanas, Microsoft Defender, la solución de seguridad nativa de Microsoft para entornos Windows, se ha visto comprometida por una serie de vulnerabilidades zero-day de alto impacto. Un investigador bajo el seudónimo «Chaotic Eclipse» ha publicado de manera pública un exploit de prueba de concepto (PoC) para la vulnerabilidad denominada «RedSun», el segundo zero-day contra Defender que revela en tan solo quince días. Esta acción responde a una protesta explícita por parte del investigador frente a la política de gestión de vulnerabilidades y al trato que reciben algunos analistas de seguridad por parte de Microsoft.

Contexto del Incidente

El descubrimiento y divulgación pública de «RedSun» llega apenas días después de que el mismo investigador hiciera público otro exploit para Defender, ambos sin que Microsoft haya liberado parches oficiales para ninguno de los dos fallos. Según declaraciones del propio Chaotic Eclipse, la decisión de publicar el PoC obedece a la frustración acumulada ante la falta de reconocimiento y la lentitud en el ciclo de respuesta de la compañía respecto a informes de seguridad enviados por la comunidad investigadora.

Estos hechos se enmarcan en un contexto donde la colaboración entre investigadores y grandes vendors está siendo fuertemente cuestionada, especialmente tras episodios recientes donde se han detectado demoras significativas en la gestión de vulnerabilidades críticas. En el caso de Microsoft, el programa de recompensas y la interacción con la comunidad se ha convertido en tema de debate recurrente en foros especializados.

Detalles Técnicos

La vulnerabilidad «RedSun» afecta a Microsoft Defender en las versiones 4.18.24050.2 y anteriores, presentes tanto en Windows 10 como en Windows 11, así como en algunas ediciones de Windows Server. El exploit PoC publicado permite a un atacante local escalar privilegios y ejecutar código arbitrario en el contexto SYSTEM, el nivel más alto de privilegio en entornos Windows.

El mecanismo de explotación aprovecha un fallo en el manejo de rutas y permisos dentro del servicio de análisis en tiempo real de Defender. Concretamente, el atacante puede manipular archivos temporales y rutas de exclusión para inyectar cargas maliciosas que son ejecutadas por el propio servicio de Defender.

Vectores de ataque:

– Tipo de vulnerabilidad: Escalada de privilegios locales (LPE – Local Privilege Escalation)
– MITRE ATT&CK: T1068 (Exploitation for Privilege Escalation), T1055 (Process Injection)
– CVE asignado: Aún pendiente de asignación oficial por parte de Microsoft
– IoC: Modificación de rutas de exclusión, creación de archivos temporales sospechosos en directorios monitorizados por Defender, ejecución de binarios con privilegios elevados

El código PoC ha sido publicado en repositorios públicos y adaptado rápidamente para frameworks de explotación como Metasploit, lo que aumenta el riesgo de explotación masiva en entornos corporativos y de usuarios particulares.

Impacto y Riesgos

La explotación exitosa de «RedSun» permite a cualquier atacante con acceso local al sistema comprometer completamente un endpoint, desactivando controles de seguridad, instalando malware persistente o facilitando movimientos laterales en redes empresariales. El riesgo se agrava por tratarse de una vulnerabilidad zero-day, sin parches oficiales y con un exploit funcional ampliamente disponible.

Según estimaciones de firmas de inteligencia de amenazas, más del 80% de los endpoints Windows en entornos empresariales utilizan alguna versión vulnerable de Defender, lo que podría traducirse en millones de sistemas expuestos. El potencial de abuso es especialmente preocupante en sectores críticos (finanzas, energía, administración pública) donde la continuidad operativa depende de la protección proporcionada por soluciones como Defender.

Medidas de Mitigación y Recomendaciones

Mientras Microsoft prepara un parche oficial, se recomiendan las siguientes medidas de contención:

– Auditar las configuraciones de exclusión y rutas temporales de Microsoft Defender
– Monitorizar los logs de Defender en busca de actividades anómalas relacionadas con la manipulación de rutas y ejecución de binarios no autorizados
– Restringir el acceso local a sistemas críticos y reforzar la autenticación multifactor
– Utilizar soluciones EDR complementarias capaces de detectar actividades de escalada de privilegios
– Aplicar microsegmentación y control de aplicaciones para minimizar el riesgo de movimientos laterales

Es fundamental que los administradores se mantengan atentos a los próximos boletines de seguridad de Microsoft y apliquen los parches en cuanto estén disponibles.

Opinión de Expertos

Expertos consultados destacan la gravedad de la situación, no solo por la naturaleza técnica de la vulnerabilidad, sino por el precedente que sienta la publicación de exploits funcionales sin mediar coordinación con el fabricante. «La divulgación pública de PoCs para zero-days en soluciones tan críticas como Defender evidencia la necesidad de revisar y mejorar los procesos de bug bounty y respuesta a incidentes en grandes vendors», señala un analista de un conocido SOC europeo.

Implicaciones para Empresas y Usuarios

La exposición masiva a una escalada de privilegios local en Defender supone un desafío directo para el cumplimiento normativo (GDPR, NIS2), ya que una brecha de este tipo puede facilitar el acceso no autorizado a datos personales y sistemas sensibles. Las empresas deben evaluar urgentemente su superficie de ataque y priorizar la aplicación de controles compensatorios hasta la disponibilidad de un parche definitivo.

Conclusiones

El incidente «RedSun» pone en evidencia las debilidades actuales en los programas de gestión de vulnerabilidades y la importancia de una colaboración más efectiva entre la comunidad investigadora y los grandes fabricantes. Hasta la publicación de un parche oficial, los profesionales de ciberseguridad deben extremar las precauciones y reforzar los controles de seguridad en sus entornos, recordando que la protección de los endpoints es un pilar crítico de la defensa corporativa.

(Fuente: www.bleepingcomputer.com)