Microsoft corrige duas falhas do Defender exploradas ativamente

Falhas no Microsoft Defender permitem elevação local para privilégios SYSTEM e negação de serviço, com correções disponíveis nas versões atualizadas da plataforma antimalware.

Componente	`Microsoft Defender` e plataforma antimalware associada ao `Microsoft Malware Protection Engine`.
Vetor	`CVE-2026-41091` exige execução local por um usuário autorizado e envolve resolução incorreta de links antes do acesso a arquivo; `CVE-2026-45498` afeta a disponibilidade do Defender.
Impacto	`CVE-2026-41091` pode permitir elevação de privilégio para `SYSTEM`; `CVE-2026-45498` pode causar negação de serviço no componente de proteção.
Prioridade	Confirmar atualização automática da plataforma antimalware e validar presença das versões corrigidas em endpoints Windows.
Versões	Correções indicadas em `Microsoft Defender Antimalware Platform` versões `1.1.26040.8` e `4.18.26040.7`.
Mitigação	Agências federais civis dos Estados Unidos receberam prazo de correção até `2026-06-03` após inclusão das falhas no catálogo `KEV` da `CISA`.

Resumo técnico

A Microsoft divulgou duas vulnerabilidades do Microsoft Defender já exploradas em ambiente real. A primeira, CVE-2026-41091, recebeu pontuação CVSS 7.8 e foi classificada como elevação de privilégio local. A condição técnica descrita envolve resolução incorreta de links antes de acesso a arquivo, uma classe de falha em que o software pode seguir uma referência de caminho diferente da esperada e operar sobre um objeto controlável pelo atacante. Com exploração bem-sucedida, o atacante local pode alcançar privilégios SYSTEM, nível que permite controle amplo sobre processos, serviços, arquivos protegidos e configurações de segurança do Windows.

A segunda falha, CVE-2026-45498, recebeu pontuação CVSS 4.0 e afeta a disponibilidade do Defender por negação de serviço. O impacto confirmado não é execução remota de código nem elevação de privilégio, mas interrupção ou degradação do componente defensivo pode ter valor operacional para um invasor que já possua algum ponto de execução no host. Em uma cadeia de ataque, indisponibilidade do mecanismo de proteção pode reduzir bloqueios, atrasar varreduras, prejudicar resposta automatizada e criar janela para execução de ferramentas, movimentação lateral ou implantação de outros artefatos maliciosos.

As duas vulnerabilidades foram incluídas no catálogo Known Exploited Vulnerabilities da CISA, o que confirma exploração observada e impõe, para agências federais civis dos Estados Unidos, aplicação das correções até 2026-06-03. Não há, no contexto técnico disponível, detalhes públicos sobre amostras, comandos, payloads, hashes, indicadores de comprometimento, cadeia de exploração ou grupos responsáveis. A ausência desses dados não reduz a prioridade de correção, porque o componente afetado fica presente em grande parte das estáções Windows e costuma operar com alto privilégio.

Fluxo técnico

CVE-2026-41091 depende de execução local por um atacante autorizado. Esse detalhe é importante para a priorização: a falha não descreve acesso remoto inicial por rede, mas pode ampliar o impacto de uma conta já comprometida, de um processo iniciado por phishing, de um usuário de baixa permissão, de uma sessão RDP indevidamente exposta ou de um agente de pós-exploração rodando sem privilégio administrativo. A classe de problema, resolução incorreta de link antes de acesso a arquivo, normalmente envolve discrepância entre o caminho validado e o caminho efetivamente usado no momento da operação. Quando um serviço privilegiado manipula arquivos, diretórios ou objetos reparse sem travamento adequado da referência, uma corrida de caminho ou substituição por link pode redirecionar a ação para um alvo mais sensível.

O resultado confirmado para CVE-2026-41091 é elevação para SYSTEM. Na prática, esse privilégio permite executar processos fora do limite normal de uma conta de usuário, alterar serviços, interferir em controles de segurança, acessar áreas protegidas do sistema e coletar materiais disponíveis somente para processos altamente privilegiados. Como a vulnerabilidade está no Defender, a análise defensiva deve considerar que o próprio fluxo de proteção pode ser usado como ponte de privilégio. Mesmo sem detalhes de exploração, equipes devem tratar eventos incomuns envolvendo criação rápida de links, objetos de sistema de arquivos, operações de varredura e mudanças de permissões em diretórios temporários como sinais relevantes quando aparecem perto de processos do Defender.

CVE-2026-45498 tem impacto diferente: negação de serviço. Uma falha desse tipo pode ser explorada para interromper o serviço, travar componente de inspeção, degradar proteção em tempo real ou causar comportamento instável em um mecanismo de defesa. O dado público não descreve se a negação de serviço exige arquivo local, operação específica, requisição interna, condição de varredura ou interação do usuário. Por isso, não é correto inferir um vetor mais preciso. A resposta técnica deve se concentrar em confirmar atualização, monitorar falhas repetidas do Defender e identificar correlação entre erros do serviço e outras atividades suspeitas no endpoint.

Superfície afetada

A superfície relevante inclui endpoints Windows que executam Microsoft Defender com a plataforma antimalware vulnerável. O próprio comunicado indica que sistemas nos quais o Defender está desabilitado não são suscetíveis a essas vulnerabilidades específicas, embora essa condição não represente postura defensiva recomendada. Em ambientes corporativos, a exposição real precisa ser medida por inventário: versão do Defender, estado do mecanismo, horário da última atualização, política de atualização de definições, conectividade com serviços de atualização e presença de soluções que possam interferir no ciclo automático de atualização.

As correções foram associadas às versões 1.1.26040.8 e 4.18.26040.7 da Microsoft Defender Antimalware Platform. A atualização tende a ocorrer automaticamente junto com definições e componentes do Microsoft Malware Protection Engine, mas operadores não devem assumir cobertura completa sem telemetria. Hosts isolados, VDI persistente sem rotina de manutenção, imagens douradas antigas, servidores com política restritiva, máquinas em redes segmentadas e endpoints que passam longos períodos desligados podem permanecer em versão vulnerável. O risco aumenta quando esses sistemas também aceitam login interativo, executam software não confiável ou têm usuários com exposição frequente a anexos e conteúdo web.

A inclusão no KEV torna a falha mais crítica para programas de gestão de vulnerabilidades, porque indica exploração ativa, não apenas possibilidade teórica. Como os detalhes de exploração não foram divulgados, o inventário deve priorizar cobertura e validação, não tentativa de reproduzir a falha. Para ambientes regulados ou com grande base Windows, a correção deve ser acompanhada de relatório que mostre versão instalada, data da última atualização, porcentagem de ativos atualizados e exceções justificadas.

Endpoints Windows com Microsoft Defender ativo e plataforma antimalware anterior às versões corrigidas.
Contas locais de baixa permissão ou sessões de usuário que possam ser usadas como ponto inicial para CVE-2026-41091.
Servidores, estáções, VDI e imagens corporativas que dependem de atualização automática, mas não reportam versão recente da plataforma.
Ambientes com Defender desabilitado não são afetados por essas duas falhas específicas, mas perdem a camada de proteção correspondente.

Hunting e telemetria

Como não há IoCs públicos, hunting deve usar comportamento e estado de controle. Para CVE-2026-41091, o foco deve estar em eventos locais próximos a processos e serviços do Defender, principalmente quando uma conta sem privilégio administrativo executa ações que antecedem alteração de permissões, criação de serviço, escrita em diretórios sensíveis ou abertura de processo privilegiado. Logs de segurança do Windows, eventos de criação de processo, telemetria de EDR e registros de alteração de arquivos podem revelar sequência anômala mesmo sem assinatura específica. A detecção mais útil combina versão vulnerável, atividade local incomum e mudança de privilégio inesperada.

Para CVE-2026-45498, a investigação deve procurar instabilidade do Defender. Reinicializações frequentes do serviço, falhas de atualização, eventos de proteção em tempo real desativada, erros do mecanismo antimalware e lacunas repentinas de telemetria podem indicar exploração ou tentativa de interferência. Esses sinais não comprovam exploração por si só, pois também podem ocorrer por atualização incompleta, conflito com outro produto de segurança ou corrupção local. A triagem deve correlacionar o horário do erro com criação de arquivos, execução de binários recém-baixados, autenticações interativas, comandos administrativos e alterações de política.

A verificação de versão é parte da caça. Consultas de inventário devem separar máquinas que reportam 1.1.26040.8, 4.18.26040.7 ou posterior daquelas que continuam em versões anteriores. Sistemas que não reportam versão, não recebem definições ou apresentam data de atualização antiga devem entrar na fila de contenção operacional, porque ficam fora do ciclo de correção automática. Em redes com EDR, vale criar uma visualização temporária com três grupos: corrigidos, vulneráveis confirmados e desconhecidos. O grupo desconhecido costuma conter ativos de maior risco operacional por falta de visibilidade.

Eventos de elevação local para SYSTEM sem caminho administrativo esperado, especialmente após execução por usuário comum.
Criação, alteração ou remoção anômala de links, diretórios temporários ou objetos de sistema de arquivos perto de processos do Defender.
Falhas, reinicializações ou interrupções repetidas de serviços relacionados ao Defender e ao mecanismo antimalware.
Endpoints com data antiga de atualização de definição, mecanismo ou plataforma antimalware.
Lacunas de telemetria de EDR ou proteção em tempo real desativada perto de execução de arquivos recém-criados.

Mitigação

A primeira ação é confirmar que a atualização da plataforma antimalware foi aplicada. Mesmo quando o mecanismo de atualização é automático, equipes devem consultar inventário centralizado, console de gerenciamento ou scripts administrativos para verificar versão efetiva em cada host. A meta defensiva é garantir que todos os sistemas elegíveis estejam em 1.1.26040.8, 4.18.26040.7 ou versão posterior correspondente. Máquinas que não atualizam devem ser tratadas como exceção de risco, com causa identificada: conectividade, política, proxy, imagem desatualizada, serviço interrompido, conflito de produto ou bloqueio administrativo.

Em paralelo, reduza oportunidades de exploração local. Contas de usuário não devem ter privilégios administrativos permanentes; sessões remotas devem exigir autenticação forte; diretórios graváveis por usuários precisam ser monitorados quando interagem com serviços privilegiados; e políticas de execução devem limitar binários não assinados ou vindos de áreas temporárias. Essas medidas não substituem a correção, mas diminuem a utilidade da falha para um atacante que já obteve execução inicial. Para servidores, valide se há necessidade real de login interativo e remova contas locais órfãs ou compartilhadas.

Após atualização, faça validação operacional. Confirme que o Defender voltou a reportar status saudável, que proteção em tempo real permanece ativa, que definições continuam sendo baixadas e que logs não mostram falhas recorrentes. Em ambientes com resposta a incidente em andamento, hosts vulneráveis que também apresentarem elevação de privilégio incomum ou interrupção do Defender devem passar por coleta forense antes de limpeza simples. A ausência de IoCs públicos exige preservar linha do tempo, eventos de processo, registros de serviço, artefatos de persistência e histórico de autenticação para reconstruir se a falha foi parte de uma cadeia maior.

Validar versão da Microsoft Defender Antimalware Platform em todos os endpoints gerenciados.
Forçar atualização em máquinas atrasadas e investigar falhas de recebimento de definições ou mecanismo.
Priorizar sistemas com login interativo, exposição a usuários finais, execução de anexos ou histórico recente de alerta.
Monitorar reinicializações, erros e desativação de componentes do Defender após a correção.
Registrar exceções e concluir correção antes de 2026-06-03 quando o ambiente seguir requisitos alinhados ao prazo do KEV.

Microsoft corrige duas falhas do Defender exploradas ativamente

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Microsoft corrige duas falhas do Defender exploradas ativamente

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato