CISA ha actualizado su catálogo de Vulnerabilidades Explotadas Conocidas para señalar BlueHammer, registrada como CVE-2026-33825, como utilizada ya en campañas de ransomware. Se trata de un fallo de escalada de privilegios local en el propio Microsoft Defender: un atacante que ya tiene un punto de apoyo en una máquina Windows puede abusar de la lógica de reparación de archivos del propio Defender para escalar de un usuario normal a SYSTEM. Si tu parque de máquinas Windows aplicó los parches de abril de 2026, estás cubierto frente a este fallo concreto, pero la historia es más enrevesada que un único CVE, y la mitigación no consiste simplemente en "parchear y olvidarse".
La parte incómoda es dónde reside el fallo. BlueHammer convierte la herramienta que se supone que protege el endpoint en el mecanismo que lo entrega. Para los defensores, eso invierte una suposición habitual: el proceso del antivirus que se ejecuta como SYSTEM se convierte en la escalera por la que trepa un atacante, no en lo que lo detiene.
¿Qué es la vulnerabilidad BlueHammer?
BlueHammer es una vulnerabilidad de escalada de privilegios local (LPE) en Microsoft Defender Antivirus, asignada como CVE-2026-33825 con una puntuación CVSS de 7.8. No es un exploit remoto; un atacante necesita ya ejecutar código en la máquina como usuario con pocos privilegios. Lo que le proporciona es el mayor premio en un único host: el control a nivel de SYSTEM.
El mecanismo es una condición de carrera de tiempo-de-comprobación a tiempo-de-uso (TOCTOU) en el flujo de reparación de Defender. Como lo describe el análisis técnico de Picus Security, el exploit coloca un archivo que activa la detección de Defender, usa un bloqueo oportunista por lotes (oplock) para congelar a Defender en mitad de la operación y, a continuación, intercambia una unión (junction) NTFS bajo la ruta de destino de modo que, cuando Defender reanuda y escribe con sus privilegios de SYSTEM, la escritura acaba en el lugar que el atacante ha elegido. En la práctica, esto se usa para alcanzar la subárbol del registro SAM y extraer los hashes de contraseñas NTLM, lo que permite una toma de control mediante pass-the-hash de las cuentas de administrador local. Ni exploit del kernel, ni corrupción de memoria, solo el propio manejo privilegiado de archivos de Defender vuelto en su contra.
Una gravedad de 7.8 (Alta) en lugar de crítica refleja que el acceso local es un requisito previo. Pero la escalada de privilegios es precisamente el paso que las bandas de ransomware necesitan tras un phishing inicial o una credencial robada, y por eso el aviso de ransomware de CISA importa más de lo que sugiere la puntuación base.
Por qué esto es noticia ahora
BlueHammer no llegó por el canal habitual de divulgación coordinada. A principios de abril de 2026, un investigador que se hacía llamar "Nightmare Eclipse" filtró el fallo junto con código de exploit de prueba de concepto funcional, presuntamente en protesta por cómo el Centro de Respuesta de Seguridad de Microsoft gestiona la divulgación. Eso lo convirtió en un verdadero zero-day: existía un exploit público y armado antes de que hubiera una solución.
La cronología desde entonces:
| Fecha (2026) | Suceso |
|---|---|
| Principios de abril | "Nightmare Eclipse" filtra públicamente el fallo + el código de exploit PoC |
| 14 de abril | Microsoft publica la solución en el Patch Tuesday como CVE-2026-33825 |
| 22 de abril | CISA añade CVE-2026-33825 al catálogo de Vulnerabilidades Explotadas Conocidas |
| Principios de mayo | Plazo de remediación federal (FCEB) bajo la regla de dos semanas del KEV |
| Finales de junio | CISA actualiza la entrada del KEV para señalar el fallo como usado en ransomware |
La actualización de finales de junio es la novedad reciente. CISA ha marcado ahora CVE-2026-33825 como "conocido por usarse en campañas de ransomware" en su catálogo. Cabe destacar que el propio aviso de Microsoft sigue sin confirmar la explotación en la naturaleza y la califica como "Explotación más probable" en lugar de "Detectada", así que hay una brecha entre lo que CISA observa operativamente y lo que el fabricante certificará formalmente. Todavía no se ha nombrado públicamente ningún grupo de ransomware concreto.
¿Estás expuesto? Cómo comprobarlo
BlueHammer afecta a Microsoft Defender Antivirus en todas las versiones compatibles de Windows para escritorio y servidor —Windows 10, Windows 11 y Windows Server 2016, 2019, 2022 y 2025— en cualquier sistema que ejecute la plataforma de Defender anterior a la actualización de abril de 2026. Comprobaciones prácticas para un administrador:
- Confirma que está instalada la actualización acumulativa de abril de 2026 (o posterior). La corrección específica de Defender viajó con el Patch Tuesday del 14 de abril. Un parque al día con los parches mensuales está protegido contra CVE-2026-33825 en concreto.
- Comprueba la versión de la plataforma de Defender, no solo la compilación del sistema operativo. La plataforma antimalware y el motor de Defender se actualizan fuera de banda respecto a Windows.
Get-MpComputerStatusen PowerShell muestraAMProductVersionyAMEngineVersion; verifica que reflejan una versión posterior a abril de 2026. - Prioriza las máquinas donde los usuarios operan sin privilegios pero de forma local. La LPE solo importa donde un atacante ya puede ejecutar código como usuario normal: las estaciones de trabajo compartidas, los hosts RDP/VDI y los equipos de desarrolladores son aquí los objetivos de mayor valor.
- Contrasta el plazo del KEV si eres una organización federal o vinculada por contrato. El reloj de la BOD 22-01 sobre este caso ya venció a principios de mayo; un host sin parchear ahora es a la vez un problema de seguridad y de cumplimiento.
Si no puedes confirmar rápidamente el estado de los parches en todo el parque, esa brecha merece cerrarse esta semana. La misma disciplina aplica todos los meses: nuestro artículo sobre el Patch Tuesday de junio de 2026 y sus seis zero-days es un recordatorio de la rapidez con que rota la lista de fallos explotados en la naturaleza.
La trampa: parchear BlueHammer no cierra todo el agujero
Aquí está el detalle que se salta la mayoría de la cobertura de un solo CVE. BlueHammer llegó con hermanos. Investigadores de seguridad documentaron dos técnicas de abuso de Defender estrechamente relacionadas —RedSun y UnDefend, usadas en la naturaleza junto a ella— y no todas mueren con el parche de abril.
- RedSun usa la misma familia de trucos (la API de Cloud Files, oplocks, uniones de directorio), pero apunta a un servicio distinto,
TieringEngineService.exe, y ceba al motor en tiempo real de Defender con una cadena de prueba EICAR incrustada para desencadenar un ciclo de reparación que luego redirige. Y lo que es crucial: se ha informado de que RedSun sigue funcionando en Windows 10, 11 y Server 2019+ totalmente parcheados, incluso después de las actualizaciones de abril. - UnDefend no es en absoluto un exploit de escalada de privilegios. Degrada progresivamente la fidelidad de detección de Defender interfiriendo con su mecanismo de actualización de definiciones: un movimiento silencioso de post-explotación para cegar el endpoint antes de la siguiente fase.
La conclusión: parchear CVE-2026-33825 es necesario, pero no suficiente. El patrón subyacente —abusar de las operaciones de archivos de un agente de seguridad con privilegios de SYSTEM mediante uniones y oplocks— es una clase de técnica, y la clase no está parcheada por completo. Ese es el argumento a favor de la detección basada en comportamiento por encima del parcheo.
Qué hacer realmente
Parchea primero y luego añade detección para la técnica en lugar de para la firma concreta. Basándote en los indicadores de comportamiento que los investigadores han publicado, vigila en tu EDR/SIEM:
- Escrituras a nivel de SYSTEM inesperadas en directorios donde escriben usuarios, especialmente tras operaciones de archivo atribuidas a Defender.
- Creación de uniones NTFS / puntos de reanálisis de directorio por parte de procesos sin privilegios de administrador en rutas que Defender repara.
- Supresión de las actualizaciones de Defender o caídas repentinas en la frescura de las definiciones entre endpoints: una posible huella de UnDefend.
- Reconocimiento clásico previo a la escalada, como
whoami /privdesde sesiones sin privilegios justo antes de actividad relacionada con Defender.
Como todo el sentido de esta clase de fallo es que el atacante ya tiene un punto de apoyo local, también refuerza el argumento para reducir lo que un único endpoint comprometido puede alcanzar. La segmentación de red y los controles de acceso basados en la identidad limitan el radio de impacto de una toma de control de SYSTEM: la misma lógica que hay detrás de abandonar las redes planas que abordamos en Zero Trust vs VPN en 2026. Y si esto te resulta familiar, tiene la misma forma que otros fallos de root local de 2026 como el fallo del kernel de Linux Bad Epoll: el perímetro aguanta, pero el equipo bajo el código del atacante está a una sola primitiva del control total.
Preguntas frecuentes
¿Qué es CVE-2026-33825 (BlueHammer)?
Es una vulnerabilidad de escalada de privilegios local en Microsoft Defender Antivirus, con CVSS 7.8. Abusando de una carrera TOCTOU en la lógica de reparación de archivos de Defender (usando oplocks y uniones NTFS), un atacante con pocos privilegios puede redirigir las escrituras a nivel de SYSTEM de Defender y escalar a SYSTEM, extrayendo en última instancia los hashes NTLM de la base de datos SAM.
¿Se está explotando BlueHammer en ataques de ransomware?
CISA ha actualizado su catálogo de Vulnerabilidades Explotadas Conocidas para marcar CVE-2026-33825 como usada en campañas de ransomware. El aviso de Microsoft no ha confirmado formalmente la explotación en la naturaleza y la califica como "Explotación más probable". No se ha nombrado públicamente ningún grupo de ransomware concreto.
¿Existe un parche para BlueHammer?
Sí. Microsoft corrigió CVE-2026-33825 en el Patch Tuesday del 14 de abril de 2026. Cualquier sistema Windows con la plataforma de Defender de abril de 2026 o posterior está protegido frente a este CVE concreto. Confirma tanto la actualización acumulativa del sistema operativo como la versión de la plataforma antimalware de Defender.
¿Parchear me protege por completo de estos ataques a Defender?
No del todo. De técnicas relacionadas documentadas junto a BlueHammer —en particular RedSun— se ha informado de que siguen funcionando en sistemas totalmente parcheados, y UnDefend degrada la detección de Defender en lugar de escalar privilegios. Parchea y, después, añade detección basada en comportamiento para el abuso de uniones/oplocks y las escrituras inesperadas de SYSTEM.
¿A quién afecta CVE-2026-33825?
A Microsoft Defender Antivirus en Windows 10, Windows 11 y Windows Server 2016, 2019, 2022 y 2025, en cualquier host que ejecute una plataforma de Defender anterior a abril de 2026. Como requiere ejecución de código local, las estaciones de trabajo compartidas, los hosts RDP/VDI y las máquinas de desarrolladores son los objetivos de máxima prioridad.
Fuentes
- BleepingComputer — CISA: Windows BlueHammer flaw now exploited by ransomware gangs: la actualización de ransomware del KEV de CISA, la cronología de divulgación y el estado del aviso de Microsoft.
- Picus Security — BlueHammer & RedSun: Windows Defender CVE-2026-33825 explained: la mecánica del exploit TOCTOU/oplock/unión NTFS y la filtración de Nightmare Eclipse.
- Vectra AI — When the defender becomes the door: BlueHammer, RedSun and UnDefend in the wild: en qué se diferencian los tres exploits relacionados y orientación para la detección basada en comportamiento.
- SecurityWeek — Recent Microsoft Defender vulnerability exploited as zero-day: la calificación CVSS 7.8 y la confirmación de la explotación en la naturaleza.
Waqas Ahmed Waseer
Waqas Ahmed Waseer es desarrollador y creador de automatizaciones con más de 8 años construyendo sistemas en producción que usan más de 100.000 personas. Crea SaaS multiinquilino a medida, automatización con IA (n8n, flujos LLM, bots de WhatsApp) e infraestructura de hosting (WHM/cPanel, CloudLinux), y es el creador de WaSphere, FlowMaticX y la marca de hosting WaseerHost. Más de 100 proyectos entregados para pymes, agencias y startups financiadas.



