La cazadora es advertencia que los actores de amenazas están explotando tres fallas de seguridad recientemente reveladas en Microsoft Defender para obtener privilegios elevados en sistemas comprometidos.

La actividad implica la explotación de tres vulnerabilidades que tienen el nombre en código Martillo azul (requiere iniciar sesión en GitHub), rojosoly Desdefendertodos los cuales fueron publicados como días cero por un investigador conocido como Chaotic Eclipse (también conocido como Nightmare-Eclipse) en respuesta al manejo por parte de Microsoft del proceso de divulgación de vulnerabilidades.

Si bien tanto BlueHammer como RedSun son fallas de escalada de privilegios locales (LPE) que afectan a Microsoft Defender, UnDefend se puede utilizar para desencadenar una condición de denegación de servicio (DoS) y bloquear eficazmente las actualizaciones de definiciones.

Microsoft tomó medidas para abordar BlueHammer como parte de sus actualizaciones del martes de parches lanzadas a principios de esta semana. La vulnerabilidad se rastrea con el identificador CVE CVE-2026-33825. Sin embargo, las otras fallas no tienen solución al momento de escribir este artículo.

En una serie de publicaciones compartidas en X, Huntress dijo que observó que las tres fallas se explotaban en la naturaleza, con BlueHammer siendo utilizado como arma desde el 10 de abril de 2026, seguido del uso de RedSun y UnDefend prueba de concepto (PoC) el 16 de abril.

«Estas invocaciones siguieron a los típicos comandos de enumeración: whoami /priv, cmdkey /list, net group y otros que indican la actividad práctica del actor de amenazas en el teclado», añadió.

El proveedor de ciberseguridad dijo que ha tomado medidas para aislar a la organización afectada para evitar una mayor explotación posterior. The Hacker News se comunicó con Microsoft para hacer comentarios y actualizaremos la historia si recibimos una respuesta.