Vulnerabilidades 0-day en Microsoft Defender explotadas activamente permiten elevación de privilexios e denegación de Servizo

microsoft defender
Empresas
Cidadanía
Administración Pública
0day
Microsoft
Nivel de alerta
Alto

Microsoft publicou correccións de seguridade para dúas novas vulnerabilidades 0-day en Microsoft Defender que xa están sendo explotadas activamente en contornas Windows.

As vulnerabilidades poderían permitir:

  • elevación local de privilexios a SYSTEM
  • desactivación ou manipulación de mecanismos de protección
  • interrupción das capacidades antimalware
  • persistencia encuberta
  • evasión de controis defensivos
  • despregamento de payloads maliciosos

As vulnerabilidades afectan compoñentes centrais de Microsoft Defender presentes en versións soportadas de Windows e noutros produtos asociados ao ecosistema Defender.

Vulnerabilidades identificadas

CVE-2026-41091 — Elevation of Privilege

  • Severidade: Importante
  • Tipo:
    • Elevación local de privilexios 
    • Link following / improper link resolution 

A vulnerabilidade ten a súa orixe nun fallo de resolución de ligazóns antes do acceso a ficheiros dentro da lóxica de análise de Microsoft Defender.

Un atacante autenticado localmente podería:

  • crear junctions ou ligazóns manipuladas
  • redirixir operacións de Defender cara a rutas controladas
  • obter privilexios SYSTEM
  • modificar compoñentes críticos do sistema
  • desactivar ferramentas de seguridade
  • despregar persistencia avanzada

Microsoft confirmou:

  • explotación activa en contornas reais
  • divulgación pública
  • estado “Exploitation Detected”

Versión afectada:

  • Microsoft Malware Protection Engine 1.1.26030.3008 e anteriores

Versión corrixida:

  • 1.1.26040.8

CVE-2026-45498 — Denial of Service

  • Tipo:
    • Denegación de servizo 
    • Interrupción das capacidades Defender 

A vulnerabilidade afecta á plataforma antimalware de Microsoft Defender e podería permitir a atacantes degradar ou bloquear funcionalidades de protección.

Impacto potencial:

  • interrupción do motor Defender
  • degradación da protección antimalware
  • creación de ventás de evasión
  • persistencia encuberta tras o fallo do servizo

Microsoft tamén confirmou:

  • explotación activa
  • divulgación pública
  • estado “Exploitation Detected”

Versión afectada:

  • Antimalware Platform 4.18.26030.3011 e anteriores

Versión corrixida:

  • 4.18.26040.7

Risco operativo

A combinación de:

  • explotación activa
  • despregamento masivo de Microsoft Defender
  • privilexios SYSTEM
  • posibilidade de evasión defensiva

converte estas vulnerabilidades nun vector especialmente atractivo para:

  • ransomware
  • post-explotación
  • movemento lateral
  • malware persistente
  • evasión EDR
  • campañas de intrusión corporativa

Microsoft Defender intégrase por defecto en:

  • Windows 10
  • Windows 11
  • Windows Server
  • Microsoft Security Essentials
  • Microsoft System Center Endpoint Protection

Isto amplía significativamente a superficie potencial de exposición.

Mapeo MITRE ATT&CK

Posibles técnicas asociadas:

  • T1068 – Exploitation for Privilege Escalation
  • T1574 – Hijack Execution Flow
  • T1548 – Abuse Elevation Control Mechanism
  • T1562 – Impair Defenses
  • T1055 – Process Injection
  • T1105 – Ingress Tool Transfer
  • T1036 – Masquerading

Mitigacións e accións recomendadas

Microsoft indica que non é necesario instalar manualmente un parche independente, xa que as correccións se distribúen mediante os mecanismos habituais de actualización de Defender.

 

Os administradores deberían:

  • Verificar que:
    • Microsoft Malware Protection Engine ≥ 1.1.26040.8 
    • Antimalware Platform ≥ 4.18.26040.7 
  • Forzar actualización desde:
    Windows Security → Virus & threat protection → Protection updates → Check for updates
  • Validar versións instaladas desde:
    Windows Security → Settings → About
  • Monitorizar:
    • desactivación inesperada de Defender 
    • fallos de servizos antimalware 
    • modificacións anómalas de junctions/symlinks  
    • creación de contas privilexiadas 
    • actividade sospeitosa SYSTEM 

• Correlacionar telemetría EDR asociada a:

  • MsMpEng.exe 
  • MpCmdRun.exe 
  • procesos fillos anómalos 
  • cambios sobre rutas protexidas 

• Revisar políticas de:

  • hardening local 
  •  
  • control de privilexios 
  •  
  • application control 
  •  
  • tamper protection 

Consideracións importantes

Microsoft sinala que algúns escáneres poderían seguir detectando sistemas como vulnerables incluso cando Defender estea deshabilitado, debido a que os binarios afectados permanecen instalados no disco.

Non obstante:

  • os sistemas correctamente actualizados non deberían ser explotables
  • a validación debe realizarse sobre as versións efectivamente instaladas

Gobernanza e xestión do risco

Este incidente volve evidenciar riscos asociados a:

  • compoñentes de seguridade integrados por defecto
  • dependencia masiva de plataformas EDR/AV
  • privilexios elevados de motores antimalware
  • complexidade de compoñentes de protección endpoint

Áreas impactadas:

  • endpoint security
  • SOC
  • EDR/XDR
  • hardening Windows
  • threat detection
  • xestión de vulnerabilidades
  • resiliencia operativa

As solucións de seguridade endpoint continúan sendo obxectivos prioritarios para actores avanzados debido a:

  • a súa presenza masiva
  • os seus elevados privilexios
  • o seu acceso profundo ao sistema operativo
  • a súa capacidade para interferir na visibilidade defensiva

As vulnerabilidades que afectan directamente motores antimalware e EDR representan un risco especialmente crítico porque permiten converter mecanismos defensivos en vectores de compromiso e evasión.

Información relacionada

Ligazóns de interese
CVE-2026-41091
CVE-2026-45498