Microsoft corrige dois zero-days ativamente explorados no Windows Defender — CISA exige ação federal até 3 de junho

Microsoft lança patches emergenciais para dois zero-days do Defender explorados em ataques reais

A Microsoft divulgou correções fora do ciclo mensal regular para duas vulnerabilidades de dia zero no Windows Defender que já estavam sendo ativamente exploradas por agentes maliciosos. As falhas, identificadas como CVE-2026-41091 e CVE-2026-45498, afetam componentes centrais da suíte de proteção nativa do Windows e foram adicionadas ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) em 20 de maio de 2026.

A vulnerabilidade mais grave: escalonamento de privilégios até o nível SYSTEM

A falha de maior impacto é a CVE-2026-41091, classificada com pontuação CVSS de 7,8. O problema reside no Microsoft Malware Protection Engine, que realiza a resolução incorreta de links simbólicos antes de acessar arquivos durante uma varredura do Defender. Ao manipular esses links no momento exato em que o mecanismo de proteção executa sua análise, um atacante com privilégios baixos no sistema consegue escalar suas permissões até o nível SYSTEM — o mais elevado em ambientes Windows — sem necessidade de interação do usuário. A versão vulnerável é a 1.26030.3008 do engine, e a correção está disponível a partir da versão 1.1.26040.8.

Segunda vulnerabilidade paralisa o próprio antimalware

A segunda falha, CVE-2026-45498, recebeu pontuação CVSS de 4,0 e afeta a Microsoft Defender Antimalware Platform. Sua exploração bem-sucedida provoca um estado de negação de serviço (DoS), impedindo que o Defender funcione adequadamente e, na prática, deixando o sistema desprotegido. A correção para essa vulnerabilidade está incorporada na versão 4.18.26040.7 da plataforma antimalware.

CISA pressiona agências federais com prazo de duas semanas

A inclusão das duas CVEs no catálogo KEV impõe obrigações concretas para o governo norte-americano: agências federais têm até 3 de junho de 2026 para confirmar a aplicação dos patches. O prazo relativamente curto reflete a gravidade da exploração ativa já documentada — quando uma vulnerabilidade entra no KEV, significa que a CISA possui evidências concretas de uso por atores de ameaça, não apenas provas de conceito acadêmicas. A decisão de emitir patches fora do ciclo regular do Patch Tuesday reforça o caráter emergencial da situação.

O que usuários comuns e empresas devem fazer

A Microsoft destaca que, para a maioria dos usuários e organizações com atualizações automáticas habilitadas — a configuração padrão do Windows —, as correções já foram ou serão aplicadas sem necessidade de intervenção manual. Ainda assim, ambientes corporativos com políticas de atualização controlada ou sistemas isolados devem priorizar a atualização imediata do Microsoft Malware Protection Engine e da Antimalware Platform para as versões corrigidas. O cenário de exploração ativa torna a janela de exposição um risco operacional real, especialmente em organizações que processam dados sensíveis ou operam infraestrutura crítica.

Fonte: WinBuzzer — Microsoft Patches Exploited Defender Zero-Days as CISA Acts (22 mai. 2026). Corroborado por Help Net Security e The Hacker News.