CVE-2026-41091: Falha de Escalonamento de Privilégios no Microsoft Defender é Explorada Ativamente
Uma vulnerabilidade crítica no Microsoft Malware Protection Engine permite que invasores obtenham privilégios SYSTEM em máquinas Windows comprometidas. A CISA já incluiu a CVE-2026-41091 em seu catálogo de falhas ativamente exploradas, com prazo federal de correção até 3 de junho de 2026.
Falha no coração do Defender abre caminho para controle total do sistema
Uma vulnerabilidade de escalonamento de privilégios descoberta no Microsoft Malware Protection Engine — o componente central do Microsoft Defender — está sendo aproveitada em ataques reais contra sistemas Windows. Identificada como CVE-2026-41091 e classificada com pontuação CVSS de 7,8 (alta gravidade), a falha permite que um invasor autenticado localmente eleve suas permissões ao nível mais alto possível no Windows: o SYSTEM. A exploração bem-sucedida abre portas para a instalação de malware, modificação de configurações críticas e comprometimento completo da máquina alvo.
Como a vulnerabilidade funciona
O problema tem origem em um tratamento inadequado de links simbólicos dentro do motor antimalware — uma categoria de falha catalogada como CWE-59, ou "link following". Na prática, um atacante com acesso local pode criar links manipulados que enganam o Defender durante operações de varredura ou acesso a arquivos, forçando o mecanismo a executar ações com permissões elevadas que não deveriam estar disponíveis para o usuário comum. Embora seja necessário acesso prévio ao sistema para a exploração, o impacto é severo: uma vez obtido o nível SYSTEM, praticamente nenhuma barreira de segurança do Windows permanece intacta.
Em paralelo, os pesquisadores identificaram uma segunda vulnerabilidade — CVE-2026-45498 —, com pontuação CVSS de 4,0, que provoca condições de negação de serviço (DoS) no Defender. A combinação das duas falhas sendo exploradas simultaneamente é particularmente preocupante: a CVE-2026-45498 pode ser usada para degradar ou interromper a cobertura defensiva, facilitando a execução discreta da CVE-2026-41091 sem acionar alertas.
CISA eleva o alerta: deadline federal em 14 dias
Em 20 de maio de 2026, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou a CVE-2026-41091 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), sinalizando que a ameaça já extrapolou o campo teórico e está causando dano real. Agências federais americanas receberam prazo até 3 de junho de 2026 para aplicar as correções — uma janela de apenas duas semanas, o que reflete a urgência atribuída ao caso pelas autoridades de segurança.
Correção disponível: atualize o Malware Protection Engine agora
A Microsoft lançou versões corrigidas de ambos os componentes afetados. A versão 1.1.26040.8 do Microsoft Malware Protection Engine e a versão 4.18.26040.7 da Antimalware Platform endereçam as duas vulnerabilidades. Em sistemas com atualização automática do Windows Defender habilitada, o mecanismo é atualizado de forma independente do ciclo de patches mensais do Windows — o que significa que muitos dispositivos já podem ter recebido a correção sem intervenção manual. Ainda assim, administradores de sistemas corporativos devem verificar ativamente a versão do engine em seus ambientes e garantir que a atualização foi distribuída para todos os endpoints. A falha foi descoberta por Sibusiso, Diffract, Andrew C. Dorman, Damir Moldovanov e um pesquisador anônimo.
Fonte original: SempreUpdate — Vulnerabilidade do Microsoft Defender é explorada em ataques ativos
Discussão no X
Intensidade da discussão: alta