Vulnerabilidad de atención inmediata en Microsoft Defender Antimalware Platform
Además de la información publicada por Microsoft, existen fuentes externas que refuerzan la prioridad del caso. CISA incorporó CVE-2026-33825 a su catálogo de Known Exploited Vulnerabilities (KEV) el 2026-04-22, lo que indica que la vulnerabilidad fue observada como explotada en la práctica. En paralelo, Huntress publicó información pública vinculando esta falla con tooling observado en una intrusión real, bajo el nombre BlueHammer.
Detalles técnicos
La vulnerabilidad está clasificada como una Elevation of Privilege (EoP) y asociada a CWE1220: Insufficient Granularity of Access Control. La explotación exitosa permitiría que un atacante local con bajos privilegios obtenga privilegios elevados en el sistema comprometido.
De acuerdo con el análisis técnico disponible, el impacto práctico más relevante es la posibilidad de escalar privilegios hasta SYSTEM, lo que podría habilitar acceso a secretos locales, alteración de controles de seguridad, persistencia y evasión posterior.
Por su naturaleza, esta vulnerabilidad no representa un vector de acceso inicial remoto por sí
sola. Sin embargo, resulta especialmente relevante en escenarios donde un atacante ya obtuvo ejecución con privilegios bajos en un endpoint o servidor Windows.
Productos afectados
Las versiones vulnerables de Microsoft Defender Antimalware Platform comprenden las versiones anteriores a:
• 4.18.26030.3011
Explotación
La parte más importante de este caso es que existen elementos públicos para sostener que la vulnerabilidad está siendo explotada activamente:
- CISA añadió CVE-2026-33825 al catálogo KEV el 2026-04-22.
- El registro y referencias públicas asociadas al CVE incluyen enriquecimiento de CISA ADP apuntando a explotación activa.
- Huntress publicó una investigación sobre una intrusión real en la que observó tooling asociado a Nightmare-Eclipse, incluyendo BlueHammer, y vinculó el parche de abril de 2026 de Microsoft para CVE-2026-33825 con esa técnica.
Microsoft no expone en su advisory público un relato amplio del abuso en campo, pero la incorporación al KEV de CISA es una señal fuerte y suficiente para priorizar la respuesta. Por ese motivo, este caso debe tratarse como una vulnerabilidad de atención inmediata.
Remediación
La acción principal de remediación es actualizar Microsoft Defender Antimalware Platform a la
versión 4.18.26030.3011 o superior.
Se recomienda:
• Verificar la versión realmente desplegada en endpoints y servidores,
• Confirmar que los mecanismos de actualización de Microsoft Defender estén operativos.
• Validar que la actualización haya sido aplicada en todos los activos administrados.
Mitigación
En la documentación pública revisada no se identificaron mitigaciones temporales equivalentes al parche que permitan considerar el riesgo como resuelto sin actualizar.
Si por razones operativas no es posible actualizar de inmediato, conviene:
- Identificar los sistemas expuestos o de mayor criticidad.
- Priorizar equipos con acceso remoto, VPN o uso multiusuario.
- Reforzar monitoreo y revisión de eventos asociados a escalada de privilegios.
- Revisar señales de compromiso previas que pudieran facilitar explotación local.
Referencias
• Acceder a Microsoft Security Update Guide, CVE-2026-33825
• Acceder a más información sobre CVE Record
• Acceder a más información sobre NVD, CVE-2026-33825
• Acceder a CISA Known Exploited Vulnerabilities Catalog
• Acceder a Huntress, Nightmare-Eclipse Tooling Seen in Real-World Intrusion