Microsoft corrigió en abril de 2026 una vulnerabilidad de elevación de privilegios en la plataforma antimalware de Microsoft Defender, identificada como CVE-2026-33825 y bautizada por los investigadores como BlueHammer. El fallo tiene un CVSS de 7.8 y permite que un usuario local sin privilegios termine ejecutando código con permisos de nivel SYSTEM, el máximo en Windows.
Lo que llama la atención del caso es que se divulgó públicamente, con prueba de concepto incluida, antes de que existiera el parche oficial. Eso lo convierte en un zero-day en el sentido estricto: el código para explotarlo estaba a la vista de cualquiera mientras los equipos todavía esperaban la corrección.
Qué falla exactamente
BlueHammer aprovecha una condición de carrera del tipo TOCTOU (time-of-check to time-of-use) dentro del motor de remediación de Defender. Cuando Defender detecta un fichero malicioso y arranca la limpieza, realiza operaciones de escritura con privilegios elevados sin volver a comprobar la ruta de destino en el momento exacto de escribir.
El ataque encadena varias piezas conocidas de Windows. Primero se coloca un fichero que dispara la detección de Defender. Cuando la protección en tiempo real empieza la remediación, el exploit usa un oplock (bloqueo oportunista por lotes) para congelar la operación justo en el punto crítico. Con Defender en pausa, el atacante sustituye el directorio temporal por un junction point de NTFS, una especie de enlace simbólico a nivel de directorio que reapunta la ruta hacia C:\Windows\System32. Cuando Defender reanuda la operación de restauración, sigue la ruta redirigida y escribe el fichero con permisos de SYSTEM. A partir de ahí, sobrescribir un binario del sistema y conseguir ejecución como SYSTEM es cuestión de tiempo.
No hace falta interacción del usuario ni privilegios previos. Basta con poder ejecutar código en la máquina como usuario normal.
A quién afecta y qué gravedad tiene
El problema alcanza a Windows 10 y Windows 11 con Defender activo, que es la configuración por defecto en la inmensa mayoría de equipos. Como vector de elevación local, no sirve para entrar de cero en un sistema, pero sí es la pieza ideal para que un atacante que ya ha conseguido un punto de apoyo escale hasta el control total. Ese patrón —entrar con pocos privilegios y luego elevar— es justo el que más se repite en intrusiones reales.
Mitigación
Microsoft resolvió el fallo mediante una actualización de la plataforma antimalware de Defender que se distribuye de forma automática a través del mecanismo de actualización del propio antivirus. En la práctica, la mayoría de equipos con Defender al día ya recibieron la corrección sin intervención manual.
Conviene confirmar que la plataforma antimalware está actualizada (Get-MpComputerStatus en PowerShell muestra la versión instalada) y que las actualizaciones automáticas de Defender no están bloqueadas por política. CISA incluyó CVE-2026-33825 en su catálogo de vulnerabilidades explotadas conocidas, fijando un plazo de parcheo para las agencias federales de Estados Unidos, una señal de que el riesgo es real y no teórico.