En las últimas semanas, múltiples vulnerabilidades de tipo zero-day en Windows Defender han sido descubiertas y explotadas activamente, según informes de diversos medios especializados en ciberseguridad. Estas fallas permiten a atacantes escalar privilegios hasta obtener control total del sistema, aprovechando componentes legítimos del sistema operativo como el proceso de actualización de Microsoft Defender, el Servicio de Copia de Sombra de Volumen (VSS) y la API de Archivos en la Nube de Windows.
Uno de los exploits más destacados, denominado BlueHammer, fue publicado públicamente en GitHub el 3 de abril de 2026 por un investigador que se identifica como «Chaotic Eclipse». El código fue liberado sin aviso previo, sin asignación de CVE y sin parche disponible. Según Howler Cell, quien analizó la vulnerabilidad, BlueHammer permite a un usuario con privilegios bajos escalar a NT AUTHORITYSYSTEM mediante el abuso de la interacción entre el flujo de actualización de Windows Defender, el Servicio de Copia de Sombra de Volumen, la API de Archivos en la Nube y los bloqueos oportunistas (opportunistic locks), todos componentes diseñados para funcionar de manera legítima.
El exploit no requiere explotar errores en el kernel, dañar memoria ni ejecutar código dentro de Defender. En su lugar, manipula secuencias normales de operaciones del sistema para lograr elevación de privilegios. Investigadores independientes, incluyendo Will Dormann de Tharros, han confirmado que el código de prueba de concepto funciona como se describe. Microsoft respondió indicando que «apoya la divulgación coordinada de vulnerabilidades», una declaración considerada notable dado que la publicación fue todo menos coordinada.
Otro informe menciona un segundo exploit de zero-day dirigido contra Windows Defender, descrito por su autor como una respuesta tras sentir que «ellos trapearon el piso conmigo». Este nuevo ataque también apunta a convertir la herramienta de defensa en un vector de comprometimiento, aunque los detalles técnicos específicos no fueron incluidos en las fuentes consultadas.
Adicionalmente, se han reportado otras variantes de fallas no parcheadas en Defender que permiten a actores maliciosos obtener acceso de administrador en sistemas afectados. Estas vulnerabilidades forman parte de una tendencia más amplia en la que herramientas de seguridad legítimas son abusadas para bypassar protecciones, en lugar de ser explotadas mediante técnicas tradicionales como corrupción de memoria o ejecución de código arbitrario.
La presencia de estos exploits en circulación activa, combinada con la falta de parches oficiales y la ausencia de identificadores CVE, plantea un riesgo significativo para entornos corporativos y particulares que dependen de Windows Defender como capa principal de protección. Los expertos recomiendan monitorear estrechamente el comportamiento de los procesos de actualización de Defender y revisar las configuraciones de seguridad relacionadas con VSS y los bloqueos de archivos hasta que se disponga de una solución oficial.
