Un investigador de seguridad conocido como «Chaotic Eclipse» o «Nightmare-Eclipse» ha publicado código de prueba de concepto (PoC) para tres vulnerabilidades de día cero recientemente divulgadas en Windows, las cuales están siendo explotadas activamente por atacantes para obtener privilegios de SYSTEM o administrador elevado, según informes de BleepingComputer y Huntress Labs.
Dos de estas fallas, denominadas BlueHammer y RedSun, son vulnerabilidades de escalada de privilegios local (LPE) en Microsoft Defender, mientras que la tercera, llamada UnDefend, puede ser explotada por un usuario estándar para bloquear las actualizaciones de definiciones de Microsoft Defender.
Según BleepingComputer, los atacantes están utilizando estos exploits en ataques dirigidos, y Huntress Labs confirmó haber observado su uso en la naturaleza desde el 10 de abril, incluyendo detecciones en un dispositivo comprometido mediante una cuenta de usuario de SSLVPN comprometida, con evidencia de actividad de amenaza «manos en el teclado».
El investigador publicó los PoC como protesta por el manejo del proceso de divulgación por parte del Centro de Respuesta de Seguridad de Microsoft (MSRC). Aunque Microsoft ya ha rastreado la vulnerabilidad BlueHammer como CVE-2026-33825 y la ha parcheado en las actualizaciones de seguridad de abril de 2026, las otras dos fallas — RedSun y UnDefend — permanecen sin parchear a la fecha.
El exploit de RedSun, en particular, permite a los atacantes obtener privilegios de SYSTEM en sistemas Windows 10, Windows 11 y Windows Server 2019 y posteriores, incluso después de aplicar las actualizaciones de Patch Tuesday de abril, siempre que Windows Defender esté habilitado.
