Microsoft corrige dos zero‑days de Defender explotados activamente
Microsoft publicó una actualización fuera de ciclo el 20 de mayo de 2026 para corregir dos vulnerabilidades zero‑day de Microsoft Defender que ya estaban siendo explotadas: CVE‑2026‑41091 y CVE‑2026‑45498. CVE‑2026‑41091 permite a un atacante local elevar privilegios hasta nivel SYSTEM mediante una vulnerabilidad de...
What are the newly disclosed Microsoft Defender zero‑day vulnerabilities patched in the May 20 out‑of‑band update (including CVE‑2026‑41091Microsoft patched two actively exploited Defender vulnerabilities in an out‑of‑band update on May 20, 2026.
Prompt de IA
Create a landscape editorial hero image for this Studio Global article: What are the newly disclosed Microsoft Defender zero‑day vulnerabilities patched in the May 20 out‑of‑band update (including CVE‑2026‑41091. Article summary: Microsoft’s May 20, 2026 out-of-band Defender update addressed two newly disclosed, actively exploited Defender flaws: CVE-2026-41091, a local privilege-escalation link-following bug, and CVE-2026-45498, a Defender denia. Topic tags: general, government, general web, user generated, education. Reference image context from search candidates: Reference image 1: visual subject ""The May 2026 Patch Tuesday Release breaks a long-standing streak as the first release in nearly two years not to include a zero-day," said Satnam Narang, senior staff research eng" source context "No Zero-Days, but Plenty to Patch in Microsoft May Update" Reference image 2: visual subject "
openai.com
Microsoft publicó una actualización de seguridad fuera del ciclo habitual el 20 de mayo de 2026 para corregir dos vulnerabilidades críticas de Microsoft Defender que ya estaban siendo explotadas en ataques reales. Las fallas —CVE‑2026‑41091 y CVE‑2026‑45498— afectan al ecosistema antimalware de Defender utilizado en sistemas Windows modernos. Ambas fueron añadidas rápidamente al catálogo Known Exploited Vulnerabilities (KEV) de la agencia estadounidense CISA, una señal clara de que existen ataques activos y que el parche debe aplicarse con urgencia.
Aunque las dos vulnerabilidades tienen mecanismos distintos —una permite escalar privilegios y la otra interrumpir el funcionamiento de Defender— ambas afectan a un componente de seguridad clave que muchas organizaciones utilizan como primera línea de defensa.
Las dos vulnerabilidades zero‑day corregidas
CVE‑2026‑41091 — Elevación local de privilegios en Microsoft Defender
La vulnerabilidad CVE‑2026‑41091 es un fallo de tipo “link following” causado por una resolución incorrecta de enlaces de archivos antes de acceder a ellos. En términos simples, Defender puede seguir un enlace simbólico o redirección del sistema de archivos controlada por un usuario y terminar operando sobre un archivo distinto del previsto.
Dado que Defender ejecuta algunas operaciones con privilegios elevados, un atacante local podría manipular este comportamiento para obtener privilegios de nivel SYSTEM, el nivel más alto del sistema operativo Windows.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
¿Cuál es la respuesta corta a "Microsoft corrige dos zero‑days de Defender explotados activamente"?
Microsoft publicó una actualización fuera de ciclo el 20 de mayo de 2026 para corregir dos vulnerabilidades zero‑day de Microsoft Defender que ya estaban siendo explotadas: CVE‑2026‑41091 y CVE‑2026‑45498.
¿Cuáles son los puntos clave a validar primero?
Microsoft publicó una actualización fuera de ciclo el 20 de mayo de 2026 para corregir dos vulnerabilidades zero‑day de Microsoft Defender que ya estaban siendo explotadas: CVE‑2026‑41091 y CVE‑2026‑45498. CVE‑2026‑41091 permite a un atacante local elevar privilegios hasta nivel SYSTEM mediante una vulnerabilidad de tipo “link‑following” en el motor de protección contra malware.
¿Qué debo hacer a continuación en la práctica?
Las organizaciones deben actualizar inmediatamente el motor y la plataforma de Defender, ya que estos componentes se actualizan de forma independiente del sistema operativo Windows.
Tipo de vulnerabilidad: resolución incorrecta de enlaces (link following)
Impacto: elevación de privilegios local hasta SYSTEM
Severidad CVSS v3.1: 7.8 (Alta)
Requiere un usuario autenticado local, no acceso remoto directo.
Este tipo de ataque suele implicar una cadena de acciones como:
Crear un enlace simbólico, junction o reparse point malicioso
Forzar a Defender a acceder o modificar ese enlace
Redirigir la operación hacia un archivo protegido del sistema
Aunque los avisos públicos no incluyen todos los detalles técnicos del exploit, esta categoría de vulnerabilidades es conocida y se usa con frecuencia en cadenas de escalada de privilegios.
CVE‑2026‑45498 — Vulnerabilidad de denegación de servicio en Defender
La segunda falla, CVE‑2026‑45498, permite provocar una condición de denegación de servicio (DoS) en Microsoft Defender. La documentación técnica pública la describe por ahora como una vulnerabilidad no especificada que puede causar interrupciones en el servicio.
Si se explota con éxito, podría:
provocar fallos o cierres inesperados en componentes de Defender
interrumpir el escaneo de malware
desactivar temporalmente procesos de protección en tiempo real
Debido a que Defender proporciona protección continua en los endpoints, interrumpirlo puede crear una ventana de oportunidad para que malware u otras acciones posteriores al compromiso se ejecuten sin ser detectadas.
Los detalles técnicos exactos del exploit todavía no se han hecho públicos en el momento de la divulgación.
Evidencias de explotación activa
Microsoft confirmó que ambas vulnerabilidades ya estaban siendo explotadas en ataques reales, lo que motivó la publicación urgente del parche fuera del ciclo normal de actualizaciones.
Entre los indicadores que respaldan esta evaluación:
Ambos CVE fueron añadidos al catálogo KEV de CISA, que solo incluye vulnerabilidades con evidencia de explotación.
Informes de seguridad indican que Microsoft reconoció actividad de explotación activa tanto del fallo de elevación de privilegios como del de denegación de servicio.
Los registros de vulnerabilidades las clasifican como fallos de alta gravedad explotados activamente.
Por ahora, las fuentes públicas no incluyen muestras de exploit completas, indicadores de compromiso (IOC) o telemetría confirmada de víctimas.
Sistemas afectados
Las vulnerabilidades afectan a componentes de Microsoft Defender, lo que significa que el riesgo depende principalmente de las versiones del motor y la plataforma de Defender, no necesariamente de la versión exacta de Windows.
Entre los entornos potencialmente afectados se incluyen:
Windows 11
Windows Server (incluido Server 2025)
equipos empresariales protegidos por el Microsoft Malware Protection Engine
Las alertas indican que las versiones vulnerables incluyen:
Motor antimalware anterior a 1.1.26040.8
Plataforma Defender anterior a 4.18.26040.7
Es importante recordar que el motor y la plataforma de Defender se actualizan de forma independiente del sistema operativo, por lo que instalar únicamente actualizaciones de Windows no garantiza que el problema esté solucionado.
¿Existe relación con la campaña “Nightmare‑Eclipse”?
Investigadores de seguridad han señalado una oleada más amplia de exploits dirigidos a tecnologías de Microsoft vinculada a un actor conocido como Nightmare‑Eclipse (también llamado Chaotic Eclipse). Este actor ha publicado varios exploits de Windows y Defender durante 2026 tras un conflicto relacionado con la divulgación de vulnerabilidades.
Según los análisis, la actividad incluye una serie de zero‑days dirigidos a herramientas de seguridad y componentes del sistema operativo de Microsoft.
Sin embargo, la evidencia disponible no confirma de forma definitiva que CVE‑2026‑41091 o CVE‑2026‑45498 formen parte directa de esa campaña. Por ahora, solo se observa que aparecen dentro de un contexto más amplio de vulnerabilidades recientes que afectan a Defender.
Medidas recomendadas para mitigar el riesgo
Las organizaciones que utilicen Windows con Microsoft Defender deberían tratar estas vulnerabilidades como prioridad alta de parcheo.
Acciones recomendadas:
Instalar inmediatamente las actualizaciones de plataforma y motor de Microsoft Defender publicadas el 20 de mayo.
Verificar las versiones de Defender en los endpoints en lugar de asumir que la actualización de Windows es suficiente.
Priorizar el parcheo en servidores, sistemas multiusuario, VDI y estaciones de desarrollo, donde el riesgo de escalada de privilegios es mayor.
Supervisar comportamientos anómalos en Defender, como fallos del servicio o reinicios inesperados.
Revisar el sistema de archivos en busca de enlaces simbólicos o reparse points sospechosos en directorios donde los usuarios puedan escribir.
Si no es posible aplicar el parche de inmediato, conviene reducir la exposición limitando el acceso local interactivo, minimizando privilegios administrativos y monitorizando el estado de la protección en los endpoints.
Por qué estas fallas son especialmente preocupantes
Las vulnerabilidades en plataformas de protección endpoint son particularmente peligrosas. Microsoft Defender funciona con privilegios elevados y está profundamente integrado en Windows, por lo que cualquier fallo en su manejo de archivos o en sus servicios puede ofrecer a los atacantes una posición privilegiada dentro del sistema.
La actualización del 20 de mayo subraya una lección recurrente en ciberseguridad: incluso las herramientas diseñadas para proteger pueden convertirse en superficie de ataque cuando interactúan con archivos no confiables o ejecutan procesos con privilegios elevados.
Para administradores y equipos de seguridad, la conclusión es clara: verificar y desplegar rápidamente las actualizaciones de Defender en todos los endpoints para cerrar la ventana de explotación.
blog.barracuda.comNightmare-Eclipse: six zero-days, six weeks and one big grudge
Comments
0 comments