No tienes artículos en tu carrito de compras.

De usuario local a SYSTEM: RedSun expone una nueva vía de escalada en Windows

Alerta de ciberseguridad

RedSun, capaz de explotar Microsoft Defender 


Una nueva prueba de concepto (PoC), RedSun, explota vulnerabilidades en dispositivos Windows que ejecutan la protección en tiempo real de Microsoft Defender en Windows 10, Windows 11 y Windows Server 2019+. Aprovecha el manejo de archivos etiquetados en la nube por parte de Defender para lograr una escalada de privilegios local a SYSTEM.

¿Cuál es la amenaza?

RedSun es una vulnerabilidad de escalada de privilegios local (LPE) en la lógica de remediación de Microsoft Defender para archivos marcados con una etiqueta de nube a través de la API de Archivos en la Nube de Windows. En lugar de poner en cuarentena o eliminar de forma segura el contenido malicioso, los atacantes pueden manipular Defender para restaurar el archivo a su ruta protegida original utilizando privilegios elevados. Al combinar este comportamiento con uniones de directorios NTFS, puntos de reanálisis y bloqueos oportunistas (oplocks), los atacantes pueden redirigir la operación de escritura privilegiada de Defender para sobrescribir binarios del sistema protegidos, como C:\Windows\System32\TieringEngineService.exe. Como resultado, el servicio de Infraestructura de Archivos en la Nube ejecuta código controlado por el atacante con privilegios de SYSTEM. Esto permite a los usuarios con pocos privilegios obtener el control total del host, lo que posibilita la persistencia, el volcado de credenciales, la implementación de ransomware y el movimiento lateral sin necesidad de exploits del kernel ni derechos administrativos.

¿Por qué es digno de mención?

Esta amenaza es relevante porque representa una segunda prueba de concepto (PoC) de LPE relacionada con Defender, publicada por el mismo investigador, y ya se ha confirmado su explotación en entornos reales. La cadena de ataque es particularmente peligrosa porque convierte el comportamiento de gestión de archivos en la nube de un producto de seguridad en un mecanismo fiable para la ejecución a nivel de sistema, lo que amplía significativamente el riesgo en entornos Windows que utilizan la protección en tiempo real de Defender y Cloud Files o el etiquetado en la nube.

¿Cuál es la exposición o el riesgo?

La protección en tiempo real de Microsoft Defender queda expuesta a esta vulnerabilidad cuando los atacantes utilizan archivos etiquetados en la nube a través de la API de Archivos en la nube. Los informes de seguridad confirman que la prueba de concepto funciona en sistemas con todas las actualizaciones instaladas en abril de 2026 y se activa cuando la corrección de Defender realiza una reescritura no validada o una restauración a la ruta original.


El riesgo inmediato es la escalada de privilegios locales a SYSTEM, que los atacantes pueden aprovechar para comprometer completamente el sistema, robar credenciales, mantener el acceso no autorizado, usar ransomware o realizar movimientos laterales. Los indicadores basados ​​en evidencia incluyen eventos de Defender relacionados con archivos etiquetados en la nube, seguidos de actividades de restauración o sobrescritura de archivos, así como la ejecución de binarios sobrescritos desde ubicaciones con permisos de escritura para el usuario bajo el contexto de SYSTEM.


🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)

Monitorear los indicadores de explotación activa:

  • Sobrescritura de C:\Windows\System32\TieringEngineService.exe, ejecución de SYSTEM vinculada a la infraestructura de archivos en la nube.
  • Archivos binarios de preparación que el usuario puede escribir (por ejemplo, RedSun.exe en Descargas/Imágenes).
  • Validar las alertas recientes de etiquetas en la nube de Defender seguidas del comportamiento de restauración/sobrescritura.
  • Aplique todas las actualizaciones de Defender/SO y, hasta que Microsoft publique la solución, considere limitar o deshabilitar temporalmente las funciones de archivos en la nube siempre que sea posible.
  • Restringir las rutas de escritura/ejecución de los usuarios locales y aumentar la monitorización.
  • Crear y ensayar un plan de respuesta ante incidentes específico para RedSun:
  • Desarrollar un manual de procedimientos al estilo Outlook-RCE que defina las medidas de contención, incluido el aislamiento de los huéspedes sospechosos.
  • Conserve el correo electrónico malicioso y los artefactos relevantes de Outlook/correo electrónico y registro del punto final.
  • Revise los procedimientos de aplicación de parches y de escalamiento.
  • Revise la telemetría en busca de comportamientos sospechosos activados por correo electrónico o por respuesta.
  • Gire y verifique las credenciales según sea necesario ante la sospecha de una posible vulneración de seguridad.

XDR Endpoint Security

Servicio XDR Endpoint Security

Servicio XDR para una computadora o servidor por 12 meses. Recopila telemetría de seguridad en tiempo real para identificar, correlacionar e investigar amenazas avanzadas que evaden soluciones tradicionales.

Comprar ahora

* Suscripción anual

Cobra Networks

Lleva tu ciberseguridad al siguiente nivel

Protección avanzada, visibilidad total y respuesta inteligente en un solo lugar.

Deja tu comentario

*