Microsoft emite patches de emergência para três falhas críticas no Windows Defender, duas já exploradas por atacantes

Três falhas, dois zero-days em exploração ativa

A Microsoft surpreendeu o mercado de cibersegurança na última semana de maio de 2026 ao liberar um conjunto de patches fora do ciclo mensal regular — o chamado Patch Tuesday — para corrigir três vulnerabilidades descobertas no Windows Defender. Duas delas já estavam sendo exploradas ativamente por agentes maliciosos antes mesmo de qualquer correção estar disponível, o que as classifica formalmente como zero-days. A terceira, embora ainda sem registros de exploração em campo, carrega um nível de gravidade elevado e foi incluída no mesmo pacote de emergência.

Escalada de privilégios e negação de serviço: os dois CVEs sob ataque

A vulnerabilidade mais grave entre as exploradas recebe o identificador CVE-2026-41091 e acumula pontuação CVSS de 7,8. A falha reside no Microsoft Malware Protection Engine e envolve a resolução inadequada de links simbólicos durante varreduras do Defender — uma técnica conhecida como link following. Na prática, um atacante com acesso local e privilégios reduzidos pode manipular esses atalhos internos do sistema operacional no momento exato em que o Defender realiza uma análise de arquivos, forçando o mecanismo a operar sobre caminhos não intencionais e, com isso, elevar suas permissões até o nível SYSTEM — o mais alto da hierarquia do Windows. Pesquisadores identificaram essa variante pelo codinome RedSun, ligada à família de exploits BlueHammer.

A segunda vulnerabilidade confirmada como explorada, CVE-2026-45498, tem CVSS de 4,0 e afeta a Plataforma Antimalware do Defender. Ao contrário da primeira, seu vetor de impacto não é a escalada de privilégios, mas sim a indisponibilidade do serviço: um atacante autorizado pode forçar o encerramento ou travamento do Defender, removendo temporariamente a camada de proteção do endpoint. Identificada pela alcunha UnDefend — codinome atribuído pelo pesquisador Nightmare-Eclipse —, a falha representa um risco operacional relevante em ambientes corporativos onde o Defender atua como solução primária de segurança. Ambos os CVEs foram adicionados pela Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em 20 de maio de 2026.

RCE sem interação do usuário: a terceira ameaça no pacote

A terceira vulnerabilidade corrigida, CVE-2026-45584, ainda não tem registro de exploração ativa, mas concentra a maior pontuação CVSS do trio: 8,1. Trata-se de um heap-based buffer overflow — estouro de buffer na região de memória dinâmica — que pode ser acionado por um atacante remoto sem qualquer interação da vítima, possibilitando a execução arbitrária de código no sistema comprometido. A combinação de alta severidade, ausência de pré-requisitos de interação e capacidade de execução remota torna esse CVE um candidato prioritário de atenção, mesmo que ainda não esteja sendo explorado na natureza.

Versões corrigidas e como aplicar a atualização

A Microsoft publicou as correções nas versões 4.18.26040.7 da Plataforma Antimalware do Defender e 1.1.26040.8 do Motor de Proteção contra Malware. Em sistemas com atualização automática habilitada, o patch já deve ter sido aplicado silenciosamente. Para verificar manualmente, o caminho é: Segurança do Windows → Proteção contra vírus e ameaças → Atualizações de proteção. Vale notar que máquinas com o Windows Defender intencionalmente desativado — prática comum em ambientes com antivírus de terceiros — não são exploráveis por essas vulnerabilidades específicas, mesmo que os arquivos afetados estejam presentes no disco.

Agências federais americanas operam sob prazo crítico: a CISA determinou que todas as entidades governamentais sob sua jurisdição devem ter aplicado os patches até 3 de junho de 2026. Para organizações do setor privado, a recomendação de segurança é tratar os dois zero-days como prioridade imediata de remediação, dada a confirmação de exploração ativa.

Contexto: o risco de atacar o atacante

O episódio reforça uma tendência preocupante: ferramentas de segurança — antivírus, EDRs, firewalls — tornam-se alvos cada vez mais atrativos para agentes de ameaça justamente por operarem com permissões elevadas e acesso profundo ao sistema. Comprometer o Defender significa, simultaneamente, ganhar privilégios SYSTEM e potencialmente neutralizar a defesa do endpoint, um resultado duplamente vantajoso para qualquer atacante. A emissão de patches fora do ciclo regular pela Microsoft sinaliza a gravidade percebida internamente pela companhia e a urgência de resposta antes que a exploração se amplie.

Fonte original: SecurityWeek — Microsoft Patches Exploited UnDefend and RedSun Defender Zero-Days. Publicado em 22 de maio de 2026.