Microsoft corrige dois zero-days no Defender explorados ativamente e catalogados pela CISA
A Microsoft lançou correções emergenciais para duas vulnerabilidades de dia zero no Microsoft Defender — CVE-2026-41091 e CVE-2026-45498 — confirmadas em exploração ativa e inseridas no catálogo KEV da CISA em 20 de maio de 2026. Agências federais americanas têm até 3 de junho para remediar.
Duas falhas críticas no Defender chegam ao catálogo de vulnerabilidades exploradas da CISA
A Microsoft emitiu, em 21 de maio de 2026, atualizações emergenciais para corrigir dois zero-days descobertos no Microsoft Defender que já estavam sendo explorados ativamente por agentes maliciosos. As vulnerabilidades — identificadas como CVE-2026-41091 e CVE-2026-45498 — foram inseridas no catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) no dia 20 de maio, um dia antes da divulgação pública das correções, sinalizando a urgência da situação.
O que cada falha permite fazer
A CVE-2026-41091, classificada com pontuação CVSS de 7.8 (alta severidade), afeta o Microsoft Malware Protection Engine — componente central do Defender responsável pela varredura de arquivos. A vulnerabilidade reside na forma inadequada como o mecanismo resolve links simbólicos antes de acessar arquivos no sistema, uma classe de falha catalogada como CWE-59. Na prática, um atacante com acesso local ao sistema pode explorar essa brecha para escalar seus privilégios ao nível SYSTEM — o mais elevado no Windows — sem que o usuário precise realizar qualquer ação adicional. A falha afeta o Defender em múltiplos produtos Microsoft, incluindo o System Center Endpoint Protection e o Microsoft Security Essentials. A versão corrigida do Malware Protection Engine é a 1.1.26040.8.
Já a CVE-2026-45498 atinge diretamente a plataforma antimalware do Defender (MsMpEng.exe) e funciona como uma arma de negação de serviço (DoS): ao ser explorada, ela faz com que o serviço de proteção pare de funcionar corretamente, essencialmente desligando o escudo do sistema operacional sem que o usuário perceba. Para adversários, desativar o antimalware é frequentemente o primeiro passo antes de instalar cargas maliciosas — o que torna essa vulnerabilidade particularmente perigosa quando encadeada com outras técnicas de ataque. A versão corrigida da plataforma é a 4.18.26040.7.
Prazo federal e contexto regulatório
A inclusão de ambas as CVEs no catálogo KEV da CISA ativa automaticamente a Diretiva Operacional Vinculante 22-01 (BOD 22-01), que obriga todas as agências do Poder Executivo Civil Federal dos Estados Unidos a remediarem as falhas até 3 de junho de 2026. O prazo apertado — menos de duas semanas a partir da divulgação — reflete a gravidade da exploração ativa já confirmada em campo. Embora a diretiva se aplique formalmente apenas ao governo federal americano, a CISA recomenda explicitamente que organizações privadas do setor crítico tratem as entradas do KEV com a mesma urgência.
O que fazer agora
O Microsoft Defender é atualizado automaticamente pela maioria dos ambientes corporativos e domésticos, mas administradores de sistemas devem verificar se as definições de proteção atingiram as versões 1.1.26040.8 (Malware Protection Engine) e 4.18.26040.7 (Antimalware Platform) em todos os endpoints gerenciados. Ambientes com políticas de atualização manual ou com conectividade limitada à internet devem priorizar a aplicação emergencial dos patches. A Microsoft confirmou que as atualizações já estão disponíveis via Windows Update e Microsoft Update Catalog.
Fonte: CSO Online — Microsoft patches two zero-day flaws in Defender, publicado em 21 de maio de 2026. Corroborado por HelpNetSecurity, CybersecurityNews e GBHackers.