Microsoft ha publicado correcciones de seguridad para dos nuevas vulnerabilidades 0-day en Microsoft Defender que ya están siendo explotadas activamente en entornos Windows.
Las vulnerabilidades podrían permitir:
- elevación local de privilegios a SYSTEM
- desactivación o manipulación de mecanismos de protección
- interrupción de las capacidades antimalware
- persistencia encubierta
- evasión de controles defensivos
- despliegue de payloads maliciosos
Las vulnerabilidades afectan a componentes centrales de Microsoft Defender presentes en versiones soportadas de Windows y otros productos asociados al ecosistema Defender.
Vulnerabilidades identificadas
CVE-2026-41091 — Elevation of Privilege
- Severidad: Importante
- Tipo:
- Elevación local de privilegios
- Link following / improper link resolution
La vulnerabilidad se origina en un fallo de resolución de enlaces antes del acceso a archivos dentro de la lógica de análisis de Microsoft Defender.
Un atacante autenticado localmente podría:
- crear junctions o enlaces manipulados
- redirigir operaciones de Defender hacia rutas controladas
- obtener privilegios SYSTEM
- modificar componentes críticos del sistema
- desactivar herramientas de seguridad
- desplegar persistencia avanzada
Microsoft confirmó:
- explotación activa en entornos reales
- divulgación pública
- estado “Exploitation Detected”
Versión afectada:
- Microsoft Malware Protection Engine 1.1.26030.3008 y anteriores
Versión corregida:
- 1.1.26040.8
CVE-2026-45498 — Denial of Service
- Tipo:
- Denegación de servicio
- Interrupción de las capacidades Defender
La vulnerabilidad afecta a la plataforma antimalware de Microsoft Defender y podría permitir a atacantes degradar o bloquear funcionalidades de protección.
Impacto potencial:
- interrupción del motor Defender
- degradación de la protección antimalware
- creación de ventanas de evasión
- persistencia encubierta tras el fallo del servicio
Microsoft también confirmó:
- explotación activa
- divulgación pública
- estado “Exploitation Detected”
Versión afectada:
- Antimalware Platform 4.18.26030.3011 y anteriores
Versión corregida:
- 4.18.26040.7
Riesgo operativo
La combinación de:
- explotación activa
- despliegue masivo de Microsoft Defender
- privilegios SYSTEM
- posibilidad de evasión defensiva
convierte estas vulnerabilidades en un vector especialmente atractivo para:
- ransomware
- post-explotación
- movimiento lateral
- malware persistente
- evasión EDR
- campañas de intrusión corporativa
Microsoft Defender se integra por defecto en:
- Windows 10
- Windows 11
- Windows Server
- Microsoft Security Essentials
- Microsoft System Center Endpoint Protection
Esto amplía significativamente la superficie potencial de exposición.
Mapeo MITRE ATT&CK
Posibles técnicas asociadas:
- T1068 – Exploitation fuere Privilege Escalation
- T1574 – Hijack Execution Flow
- T1548 – Abuse Elevation Control Mechanism
- T1562 – Impair Defenses
- T1055 – Process Injection
- T1105 – Ingress Tool Transfer
- T1036 – Masquerading
Mitigaciones y acciones recomendadas
Microsoft indica que no es necesario instalar manualmente un parche independiente, ya que las correcciones se distribuyen mediante los mecanismos habituales de actualización de Defender.
Los administradores deberían:
- Verificar que:
- Microsoft Malware Protection Engine ≥ 1.1.26040.8
- Antimalware Platform ≥ 4.18.26040.7
- Forzar actualización desde:
Windows Security → Virus & threat protection → Protection updates → Check fuere updates - Validar versiones instaladas desde:
Windows Security → Settings → About - Monitorizar:
- desactivación inesperada de Defender
- fallos de servicios antimalware
- modificaciones anómalas de junctions/symlinks
- creación de cuentas privilegiadas
- actividad sospechosa SYSTEM
• Correlacionar telemetría EDR asociada a:
- MsMpEng.exe
- MpCmdRun.exe
- procesos hijos anómalos
- cambios sobre rutas protegidas
• Revisar políticas de:
- hardening local
- control de privilegios
- application control
- tamper protection
Consideraciones importantes
Microsoft señala que algunos escáneres podrían seguir detectando sistemas como vulnerables incluso cuando Defender esté deshabilitado, debido a que los binarios afectados permanecen instalados en disco.
No obstante:
- los sistemas correctamente actualizados no deberían ser explotables
- la validación debe realizarse sobre las versiones efectivamente instaladas
Gobernanza y gestión del riesgo
Este incidente vuelve a evidenciar riesgos asociados a:
- componentes de seguridad integrados por defecto
- dependencia masiva de plataformas EDR/AV/AV
- privilegios elevados de motores antimalware
- complejidad de componentes de protección endpoint
Áreas impactadas:
- endpoint security
- SOC
- EDR/XDR
- hardening Windows
- threat detection
- gestión de vulnerabilidades
- resiliencia operativa
Las soluciones de seguridad endpoint continúan siendo objetivos prioritarios para actores avanzados debido a:
- su presencia masiva
- sus elevados privilegios
- su acceso profundo al sistema operativo
- su capacidad para interferir en la visibilidad defensiva
Las vulnerabilidades que afectan directamente a motores antimalware y EDR representan un riesgo especialmente crítico porque permiten convertir mecanismos defensivos en vectores de compromiso y evasión.
