Microsoft ha revelado que una escalada de privilegios y una falla de denegación de servicio en Defender han sido explotadas activamente en la naturaleza.
El primero, rastreado como CVE-2026-41091tiene una calificación de 7,8 en el sistema de puntuación CVSS. La explotación exitosa de la falla podría permitir a un atacante obtener privilegios del SISTEMA.
«La resolución inadecuada de enlaces antes del acceso a archivos («seguimiento de enlaces») en Microsoft Defender permite a un atacante autorizado elevar los privilegios localmente», dijo Microsoft en un aviso.
La segunda vulnerabilidad bajo explotación es CVE-2026-45498 (Puntuación CVSS: 4.0), un error de denegación de servicio que afecta a Defender. Las dos vulnerabilidades se solucionaron en las versiones 1.1.26040.8 y 4.18.26040.7 de Microsoft Defender Antimalware Platform, respectivamente.
El gigante tecnológico señaló que los sistemas que han desactivado Microsoft Defender no son susceptibles a la vulnerabilidad y agregó que no se requiere ninguna acción para instalar la actualización, ya que actualiza automáticamente las definiciones de malware y el motor de protección contra malware de Microsoft para una protección óptima.
Microsoft le dio crédito a cinco partes diferentes por descubrir e informar la falla, incluidos Sibusiso, Diffract, Andrew C. Dorman (también conocido como ACD421), Damir Moldovanov y un investigador anónimo.
Para garantizar que la última versión de Microsoft Malware Protection Platform y las actualizaciones de definiciones se descarguen e instalen activamente, se recomienda a los usuarios seguir los pasos a continuación:
- Abre el Seguridad de Windows programa.
- En el panel de navegación, seleccione Protección contra virus y amenazas.
- Luego haga clic en Actualizaciones de protección en las actualizaciones de la sección Protección contra virus y amenazas.
- Seleccionar Buscar actualizaciones.
- En el panel de navegación, seleccione Ajustesy luego seleccione Acerca de.
- Examinar el Versión del cliente antimalware número.
Actualmente no hay detalles sobre cómo se explotan las vulnerabilidades en la naturaleza. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó ambas a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 3 de junio de 2026.
Con el último desarrollo, se han identificado como explotadas un total de tres vulnerabilidades de Microsoft en el lapso de una semana. La semana pasada, Redmond reveló que una falla de secuencias de comandos entre sitios que afectaba a las versiones locales de Exchange Server (CVE-2026-42897, puntuación CVSS: 8.1) se había utilizado como arma en ataques del mundo real.
También se agregaron al catálogo KEV el miércoles otras cuatro fallas de Microsoft de 2008, 2009 y 2010:
- CVE-2010-0806 – Microsoft Internet Explorer contiene una vulnerabilidad de uso después de la liberación que podría permitir a atacantes remotos ejecutar código arbitrario.
- CVE-2010-0249 – Microsoft Internet Explorer contiene una vulnerabilidad de uso después de la liberación que podría permitir a atacantes remotos ejecutar código arbitrario.
- CVE-2009-1537 – Microsoft DirectX contiene una vulnerabilidad de sobrescritura de bytes NULL en el filtro QuickTime Movie Parser en quartz.dll en DirectShow, que podría permitir a atacantes remotos ejecutar código arbitrario a través de un archivo multimedia QuickTime diseñado.
- CVE-2008-4250 – Microsoft Windows contiene una vulnerabilidad de desbordamiento de búfer en el servicio Windows Server que permite a atacantes remotos ejecutar código arbitrario a través de una solicitud RPC diseñada.
Otra vulnerabilidad que encuentra una mención en la lista es CVE-2009-3459una vulnerabilidad de desbordamiento de búfer basada en montón en Adobe Acrobat y Reader que podría permitir a atacantes remotos ejecutar código arbitrario a través de un archivo PDF diseñado que desencadena la corrupción de la memoria.