Se ha emitido una advertencia de seguridad de carácter urgente tras la publicación pública de un exploit de Prueba de Concepto (PoC) para una nueva vulnerabilidad Zero-Day en Microsoft Defender, bautizada como “RedSun”. Esta falla de Escalada de Privilegios Local (LPE) afecta a sistemas Windows 10, Windows 11 y Windows Server completamente parcheados (incluyendo las actualizaciones de abril de 2026). La vulnerabilidad permite a un atacante con acceso local de bajo nivel escalar sus permisos al máximo nivel posible (SYSTEM), neutralizando la seguridad del endpoint.
Anatomía del Ataque
El exploit “RedSun” abusa de un error de lógica fundamental en la forma en que el motor antivirus maneja los archivos etiquetados en la nube y su proceso de mitigación. La secuencia de ataque opera de la siguiente manera:
- Manipulación de la API de Archivos en la Nube: El atacante utiliza la ‘Cloud Files API’ de Windows para escribir un archivo inofensivo que simula ser malware (como el archivo de prueba EICAR).
- Abuso del Comportamiento Antivirus: Cuando Windows Defender detecta este archivo y nota que tiene una etiqueta de la nube, su comportamiento predeterminado es intentar reescribir/restaurar el archivo “limpio” en su ubicación original.
- Condición de Carrera y Enlaces Simbólicos (Race Condition & Junctions): El exploit utiliza bloqueos oportunistas (oplocks) para ganar una condición de carrera contra el sistema de copias de seguridad de volumen (Volume Shadow Copy). Simultáneamente, crea un punto de análisis o enlace simbólico (directory junction/reparse point).
- Redirección y Escalada: Este enlace simbólico engaña a la infraestructura de archivos en la nube de Windows Defender, redirigiendo la acción de reescritura del antivirus hacia un directorio protegido del sistema. Específicamente, sobrescribe el binario C:\Windows\system32\TieringEngineService.exe con una carga útil maliciosa controlada por el atacante.
- Ejecución SYSTEM: Dado que la infraestructura de la nube ejecuta el servicio TieringEngineService.exe como SYSTEM, la carga útil del atacante hereda este nivel de privilegio absoluto.
Impacto
Al lograr el acceso SYSTEM, el impacto sobre el dispositivo comprometido es total. Esta vulnerabilidad es el vector ideal posterior a la intrusión inicial (como un phishing exitoso con un payload de usuario estándar):
- Evasión Definitiva del EDR/AV: Con privilegios SYSTEM, el atacante puede desactivar de forma permanente Microsoft Defender, eludiendo sus mecanismos de protección contra manipulaciones (tamper protection).
- Despliegue de Amenazas Avanzadas: Facilita la instalación de rootkits, el volcado de credenciales de la memoria (dumping de LSASS) y el despliegue de cargas de ransomware sin ningún impedimento.
- Persistencia: Al encontrarse en un nivel superior al de un administrador local, el atacante puede incrustarse profundamente en el sistema operativo, dificultando enormemente las labores de respuesta a incidentes forenses.
Recomendaciones y Mitigación
Actualmente no existe un parche oficial emitido por Microsoft, y el nivel de detección por parte de los motores antivirus es bajo o fácilmente evadible (ofuscando la cadena EICAR en el exploit). El SOC y los administradores de TI deben proceder con medidas provisionales:
- Desactivación Temporal de Funciones en la Nube (Contención Condicional): Como mitigación workaround, se debe evaluar la desactivación de la “Protección Basada en la Nube” (Cloud-Delivered Protection) y el “Envío Automático de Muestras” (Automatic File Submission) en las políticas de Microsoft Defender. Nota de Riesgo: Esta medida reduce el riesgo de explotación de RedSun, pero disminuye la capacidad general del EDR para detectar nuevas amenazas basándose en inteligencia de la nube.
- Monitorización de Comportamiento (Sysmon/EDR): Configurar reglas de caza de amenazas para monitorear intentos de sobrescritura de archivos críticos en C:\Windows\system32\, enfocándose particularmente en modificaciones inusuales al ejecutable TieringEngineService.exe.
- Vigilancia de Enlaces Simbólicos Anómalos: Alertar sobre la creación de uniones de directorios (directory junctions) o puntos de montaje que apunten hacia directorios protegidos de Windows por parte de procesos que no pertenezcan a la capa de administración del sistema operativo.
