Falhas zero‑day no Microsoft Defender (CVE‑2026‑41091 e CVE‑2026‑45498): o que são, como funcionam e como se proteger
A Microsoft lançou uma atualização emergencial em 20 de maio de 2026 para corrigir duas falhas zero‑day no Microsoft Defender — CVE‑2026‑41091 (elevação de privilégio) e CVE‑2026‑45498 (negação de serviço) — já explor... A CVE‑2026‑41091 permite que um usuário local eleve privilégios até o nível SYSTEM explorando co...
What are the newly disclosed Microsoft Defender zero‑day vulnerabilities patched in the May 20 out‑of‑band update (including CVE‑2026‑41091Microsoft patched two actively exploited Defender vulnerabilities in an out‑of‑band update on May 20, 2026.
Prompt de IA
Create a landscape editorial hero image for this Studio Global article: What are the newly disclosed Microsoft Defender zero‑day vulnerabilities patched in the May 20 out‑of‑band update (including CVE‑2026‑41091. Article summary: Microsoft’s May 20, 2026 out-of-band Defender update addressed two newly disclosed, actively exploited Defender flaws: CVE-2026-41091, a local privilege-escalation link-following bug, and CVE-2026-45498, a Defender denia. Topic tags: general, government, general web, user generated, education. Reference image context from search candidates: Reference image 1: visual subject ""The May 2026 Patch Tuesday Release breaks a long-standing streak as the first release in nearly two years not to include a zero-day," said Satnam Narang, senior staff research eng" source context "No Zero-Days, but Plenty to Patch in Microsoft May Update" Reference image 2: visual subject "
openai.com
A Microsoft publicou uma atualização de segurança fora do ciclo (out‑of‑band) em 20 de maio de 2026 para corrigir duas vulnerabilidades críticas no Microsoft Defender que já estavam sendo exploradas em ataques reais: CVE‑2026‑41091 e CVE‑2026‑45498. As duas falhas foram rapidamente adicionadas ao catálogo Known Exploited Vulnerabilities (KEV) da CISA, indicando que há evidências de exploração ativa e que a correção deve ser tratada com prioridade.
Embora tenham naturezas diferentes — uma permite elevação de privilégios e a outra pode causar interrupção do serviço do Defender — ambas afetam componentes essenciais do sistema de proteção que muitas organizações utilizam como primeira linha de defesa em computadores Windows.
As duas vulnerabilidades zero‑day corrigidas
CVE‑2026‑41091 — Elevação de privilégios no Microsoft Defender
A CVE‑2026‑41091 é uma vulnerabilidade do tipo link following causada por resolução inadequada de links antes do acesso a arquivos. Isso significa que o Defender pode seguir um link simbólico ou outro redirecionamento do sistema de arquivos controlado por um usuário e executar operações em um arquivo diferente do esperado.
Como alguns processos do Defender operam com privilégios elevados, um invasor local poderia explorar esse comportamento para manipular essas operações e elevar seus privilégios até o nível SYSTEM, que concede controle total sobre o sistema.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Câu trả lời ngắn gọn cho "Falhas zero‑day no Microsoft Defender (CVE‑2026‑41091 e CVE‑2026‑45498): o que são, como funcionam e como se proteger" là gì?
A Microsoft lançou uma atualização emergencial em 20 de maio de 2026 para corrigir duas falhas zero‑day no Microsoft Defender — CVE‑2026‑41091 (elevação de privilégio) e CVE‑2026‑45498 (negação de serviço) — já explor...
Những điểm chính cần xác nhận đầu tiên là gì?
A Microsoft lançou uma atualização emergencial em 20 de maio de 2026 para corrigir duas falhas zero‑day no Microsoft Defender — CVE‑2026‑41091 (elevação de privilégio) e CVE‑2026‑45498 (negação de serviço) — já explor... A CVE‑2026‑41091 permite que um usuário local eleve privilégios até o nível SYSTEM explorando como o Defender resolve links de arquivos durante operações privilegiadas.
Tôi nên làm gì tiếp theo trong thực tế?
Administradores devem atualizar imediatamente a plataforma e o mecanismo do Defender e verificar as versões instaladas, já que esses componentes são atualizados independentemente do Windows.
Tipo de falha: resolução incorreta de links (link following)
Impacto: elevação de privilégios locais para SYSTEM
Severidade CVSS v3.1: 7,8 (Alta)
Requer um atacante autenticado localmente, não acesso remoto direto.
Ataques desse tipo normalmente envolvem:
criação de links simbólicos, junctions ou reparse points maliciosos
induzir o Defender a acessar ou modificar o arquivo vinculado
redirecionar a operação para um arquivo protegido do sistema
Embora os detalhes completos do exploit não tenham sido divulgados publicamente, essa classe de vulnerabilidade é bem conhecida e frequentemente usada em cadeias de exploração para obter privilégios administrativos.
CVE‑2026‑45498 — Vulnerabilidade de negação de serviço no Defender
A segunda falha, CVE‑2026‑45498, permite provocar uma condição de negação de serviço (DoS) no Microsoft Defender. A documentação técnica pública descreve apenas que a vulnerabilidade pode causar interrupção no funcionamento do software.
Uma exploração bem‑sucedida pode potencialmente:
causar falha ou travamento de componentes do Defender
interromper processos de verificação de malware
suspender temporariamente mecanismos de proteção
Como o Defender fornece proteção em tempo real nos endpoints, qualquer interrupção pode criar uma janela de oportunidade para malware ou atividades pós‑exploração ocorrerem sem detecção.
Até o momento, o método exato de exploração não foi divulgado publicamente.
Evidências de exploração ativa
A Microsoft confirmou que as duas vulnerabilidades já estavam sendo exploradas na prática antes do lançamento da correção. Isso levou à publicação da atualização emergencial fora do ciclo normal de patches.
Entre os indícios de exploração ativa estão:
inclusão das duas CVEs no catálogo KEV da CISA, reservado para vulnerabilidades com evidência real de exploração
relatórios de segurança indicando que a Microsoft reconheceu ataques explorando as falhas de elevação de privilégio e DoS
bancos de dados de vulnerabilidades classificando os problemas como falhas críticas ativamente exploradas
Apesar disso, detalhes técnicos completos, amostras de exploit ou indicadores de comprometimento ainda não foram divulgados publicamente.
Sistemas e componentes afetados
As vulnerabilidades afetam componentes do Microsoft Defender, portanto o risco depende principalmente da versão do mecanismo e da plataforma do Defender instalada — não apenas da versão do Windows.
Ambientes potencialmente afetados incluem:
PCs com Windows 11 usando Microsoft Defender
servidores com Windows Server protegidos pelo Defender
endpoints corporativos que utilizam o Microsoft Malware Protection Engine
Avisos de segurança indicam que versões vulneráveis incluem:
Microsoft Malware Protection Engine anteriores à 1.1.26040.8
Microsoft Defender Platform anteriores à 4.18.26040.7
Como esses componentes são atualizados separadamente do sistema operacional, apenas atualizar o Windows pode não ser suficiente. Administradores devem verificar explicitamente as versões do Defender instaladas nos endpoints.
Possível relação com a atividade “Nightmare‑Eclipse”
Pesquisadores de segurança também discutem uma série de exploits recentes ligados a um ator chamado Nightmare‑Eclipse (ou Chaotic Eclipse), que vem divulgando vulnerabilidades e provas de conceito direcionadas a produtos Microsoft em 2026 após um conflito sobre divulgação responsável.
Essa atividade inclui vários exploits contra componentes do Windows e ferramentas de segurança da Microsoft.
No entanto, não há evidência pública definitiva de que as vulnerabilidades CVE‑2026‑41091 ou CVE‑2026‑45498 façam parte diretamente dessa campanha. O que se observa é apenas que elas aparecem dentro de um contexto mais amplo de exploração recente envolvendo o Defender.
Mitigações e ações recomendadas
Organizações que utilizam Microsoft Defender devem tratar essas falhas como correções prioritárias.
Medidas recomendadas incluem:
instalar imediatamente as atualizações do Defender lançadas em 20 de maio
verificar as versões do mecanismo e da plataforma do Defender em todos os endpoints
priorizar correções em servidores, ambientes multiusuário, VDI e estações de desenvolvimento, onde a elevação de privilégios representa maior risco
monitorar falhas ou reinicializações inesperadas do Defender
investigar a presença de links simbólicos ou reparse points suspeitos em diretórios com permissão de escrita para usuários
Se a atualização imediata não for possível, medidas temporárias incluem restringir acesso local interativo, reduzir privilégios administrativos e monitorar continuamente o status do endpoint protection.
Por que essas falhas são críticas
Vulnerabilidades em ferramentas de segurança são particularmente perigosas porque esses softwares operam com altos privilégios e acesso profundo ao sistema operacional.
Quando um componente de proteção como o Defender possui falhas no tratamento de arquivos ou na estabilidade de seus serviços, invasores podem transformar o próprio mecanismo de defesa em um ponto de entrada ou de escalonamento dentro do sistema.
A atualização emergencial de 20 de maio reforça uma lição recorrente em segurança digital: até ferramentas defensivas podem se tornar superfícies de ataque se não forem rapidamente corrigidas.
Para empresas e administradores, a recomendação é clara — garantir que todas as máquinas recebam as atualizações mais recentes do Microsoft Defender o quanto antes para fechar essa janela de exploração.
blog.barracuda.comNightmare-Eclipse: six zero-days, six weeks and one big grudge
Comments
0 comments