CISA alerta sobre dos zero‑days en Microsoft Defender ya usados en ataques

Cómo funciona el ataque

El motor antimalware resuelve enlaces simbólicos de forma incorrecta antes de acceder a determinados archivos. Un atacante con acceso limitado al sistema puede manipular este comportamiento para alterar operaciones de acceso a archivos realizadas por el motor de Defender.

Si el ataque tiene éxito, el atacante puede obtener privilegios de nivel SYSTEM, el nivel más alto en Windows, lo que le permite tomar control total de la máquina.

Las versiones afectadas incluyen:

• Microsoft Malware Protection Engine: desde 1.1.26030.3008 hasta 1.1.26040.7

Debido a que este motor funciona con privilegios elevados durante el análisis de archivos, la explotación puede comprometer la confidencialidad, integridad y disponibilidad del sistema.

CVE‑2026‑45498: fallo que puede desactivar Defender (DoS)

La segunda vulnerabilidad, CVE‑2026‑45498, permite provocar una denegación de servicio (DoS) en Microsoft Defender.

Gravedad

• Puntuación CVSS reportada: 4.0 (Media)
• Tipo de ataque: denegación de servicio
• Estado: explotación activa detectada antes del parche

Qué provoca el fallo

Los detalles técnicos públicos son limitados, pero los reportes indican que un atacante puede aprovechar esta vulnerabilidad para dejar Microsoft Defender en un estado no funcional o interrumpido.

En la práctica, esto significa que el sistema podría quedarse temporalmente sin protección antivirus, lo que abre la puerta a la instalación de malware u otras actividades maliciosas mientras la defensa está deshabilitada.

Versiones afectadas

Según avisos de seguridad y reportes técnicos, los sistemas vulnerables incluyen versiones antiguas de componentes de Defender, como:

• Microsoft Malware Protection Engine: versiones anteriores a 1.1.26040.8
• Microsoft Defender Platform: versiones anteriores a 4.18.26040.7

Actualizar a versiones iguales o posteriores corrige las vulnerabilidades.

Parche de Microsoft y actualizaciones automáticas

Microsoft publicó correcciones en mayo de 2026 dentro de sus actualizaciones de seguridad. Los parches se distribuyeron mediante los mecanismos automáticos de actualización de Defender, que normalmente actualizan el motor y las definiciones de seguridad de forma silenciosa en sistemas compatibles.

Los administradores de sistemas y equipos de seguridad fueron instados a:

• comprobar que Defender recibe actualizaciones automáticas
• verificar la versión del motor antimalware
• aplicar las últimas actualizaciones de plataforma

Inclusión en el catálogo KEV de CISA

CISA añadió ambas vulnerabilidades al catálogo Known Exploited Vulnerabilities el 20 de mayo de 2026 tras confirmar que estaban siendo explotadas activamente.

Bajo la directiva federal Binding Operational Directive (BOD) 22‑01, las agencias civiles del gobierno federal estadounidense debían aplicar mitigaciones antes del:

• 3 de junio de 2026

Esta directiva exige instalar parches del proveedor, aplicar mitigaciones recomendadas o retirar productos vulnerables si no existe solución disponible.

Contexto: una ola de vulnerabilidades en productos Microsoft

Las fallas en Defender surgieron en un momento de intensa actividad en el ecosistema de seguridad de Microsoft. Durante 2026, investigadores y agencias gubernamentales reportaron múltiples campañas de explotación dirigidas a Windows y software empresarial ampliamente utilizado.

La actualización del catálogo KEV de mayo de 2026 también incluyó vulnerabilidades antiguas en Windows y Adobe, algunas descubiertas más de una década antes, lo que demuestra que los atacantes continúan explotando tanto fallos nuevos como vulnerabilidades heredadas.

Qué significa para los equipos de seguridad

Estos zero‑days muestran un riesgo recurrente en ciberseguridad: el propio software de protección puede convertirse en objetivo de los atacantes.

Como Microsoft Defender se ejecuta con privilegios elevados y está presente en millones de dispositivos, cualquier vulnerabilidad en sus componentes puede tener impacto a nivel de todo el sistema.

Por eso, las organizaciones deberían:

• mantener activadas las actualizaciones automáticas de Defender
• verificar regularmente versiones del motor y la plataforma
• priorizar en sus programas de parches las vulnerabilidades incluidas en el catálogo KEV

Cuando una vulnerabilidad ya se está explotando antes de hacerse pública, los sistemas sin actualizar pueden haber estado expuestos durante semanas o meses.