CVE-2026-41091 y CVE-2026-45498 en Microsoft Defender: análisis e impacto

Foto del autor

CyberSecureFox Editorial Team

Microsoft ha confirmado la explotación activa de dos vulnerabilidades en Microsoft Defender: CVE-2026-41091 (elevación de privilegios hasta el nivel SYSTEM, CVSS 7.8) y CVE-2026-45498 (denial of service, CVSS 4.0). La agencia CISA incluyó ambas vulnerabilidades en el catálogo Known Exploited Vulnerabilities y obligó a las agencias civiles federales de EE. UU. a mitigarlas antes del 3 de junio de 2026. Las correcciones ya están disponibles a través del mecanismo de actualización automática de Defender; sin embargo, se recomienda a los administradores comprobar manualmente la versión de plataforma instalada.

Análisis técnico de las vulnerabilidades

CVE-2026-41091 — elevación de privilegios mediante enlaces simbólicos

La más peligrosa de las dos vulnerabilidades pertenece a la clase improper link resolution before file access (resolución incorrecta de enlaces antes del acceso al archivo), también conocida como «link following». El núcleo del problema es que Microsoft Defender, al procesar operaciones sobre archivos, maneja de forma incorrecta los enlaces simbólicos, lo que permite a un atacante local autorizado redirigir las operaciones del motor antivirus hacia archivos o directorios arbitrarios con privilegios SYSTEM.

La puntuación CVSS 7.8 refleja una criticidad alta: aunque el ataque requiere acceso local y autenticación previa, el resultado de una explotación satisfactoria es el control total del sistema. Las vulnerabilidades de tipo «link following» en servicios con privilegios elevados constituyen un vector de ataque bien estudiado, que se usa de forma habitual para eludir mecanismos de protección y mantener la persistencia en sistemas comprometidos.

CVE-2026-45498 — denial of service

La segunda vulnerabilidad permite provocar un denial of service en componentes de Microsoft Defender. Con una puntuación CVSS 4.0, se clasifica formalmente como una vulnerabilidad de criticidad media; sin embargo, su relevancia práctica es considerablemente mayor en el contexto de cadenas de ataque: desactivar la protección antivirus mediante un denial of service puede ser una fase preparatoria antes del despliegue de malware o de la explotación de otras vulnerabilidades.

El hecho confirmado de la explotación activa de ambas vulnerabilidades de forma simultánea indica indirectamente su posible uso combinado: primero la neutralización de Defender mediante CVE-2026-45498 y, a continuación, la elevación de privilegios a través de CVE-2026-41091.

Versiones afectadas y correcciones

Según Microsoft, las vulnerabilidades se han corregido en las siguientes versiones de la plataforma Microsoft Defender Antimalware Platform:

  • Versión 1.1.26040.8 — corrección para CVE-2026-41091
  • Versión 4.18.26040.7 — corrección para CVE-2026-45498

Microsoft indica que las actualizaciones se distribuyen automáticamente a través del mecanismo de actualización de firmas de malware y del motor Microsoft Malware Protection Engine. Los sistemas en los que Microsoft Defender está deshabilitado no son vulnerables.

El descubrimiento de las vulnerabilidades se atribuye a cinco investigadores independientes: Sibusiso, Diffract, Andrew C. Dorman (ACD421), Damir Moldovanov y un investigador anónimo. La multiplicidad de fuentes de descubrimiento puede indicar que la vulnerabilidad era bastante evidente para investigadores experimentados y, por tanto, probablemente conocida también por actores maliciosos antes de su divulgación.

Evaluación del impacto

Microsoft Defender es la solución antivirus predeterminada en todos los sistemas Windows 10 y Windows 11, lo que convierte la posible superficie de ataque en extraordinariamente amplia. La vulnerabilidad CVE-2026-41091 supone una amenaza especial para entornos corporativos: obtener privilegios SYSTEM en una estación de trabajo de dominio abre la puerta al movimiento lateral, la extracción de credenciales y la compromisión de los controladores de dominio.

En este momento, ni Microsoft ni CISA han divulgado detalles concretos sobre la explotación en ataques reales. La ausencia de indicadores de compromiso públicos dificulta el análisis retrospectivo; sin embargo, el mero hecho de su inclusión en el catálogo KEV confirma la existencia de evidencias fiables de explotación.

Cabe destacar que esta es ya la tercera vulnerabilidad de Microsoft que obtiene el estatus de activamente explotada en la última semana: anteriormente se informó de la explotación de una vulnerabilidad de tipo XSS en versiones locales de Exchange Server.

Contexto de la actualización del catálogo CISA KEV

Además de las dos vulnerabilidades de Defender, CISA añadió simultáneamente al catálogo KEV cuatro vulnerabilidades históricas de Microsoft de los años 2008–2010 y una vulnerabilidad de Adobe:

  • CVE-2010-0806 — use-after-free en Internet Explorer, ejecución remota de código
  • CVE-2010-0249 — use-after-free en Internet Explorer, ejecución remota de código
  • CVE-2009-1537 — sobrescritura de un byte NULL en DirectX/DirectShow (quartz.dll), ejecución de código mediante un archivo QuickTime
  • CVE-2008-4250 — buffer overflow en Windows Server Service, ejecución de código a través de una solicitud RPC
  • CVE-2009-3459 — heap overflow en Adobe Acrobat y Reader, ejecución de código mediante un PDF

La inclusión en el catálogo KEV de vulnerabilidades con 15 años de antigüedad es una medida atípica, que normalmente indica la detección de su uso en ataques actuales, incluidos aquellos contra sistemas obsoletos en infraestructuras críticas o entornos industriales donde la actualización de software es complicada.

Recomendaciones prácticas

Para comprobar la versión actual de Microsoft Defender y confirmar la instalación de las correcciones:

  1. Abra la aplicación Windows Security (Seguridad de Windows)
  2. Vaya a la sección Virus & threat protection (Protección contra virus y amenazas)
  3. Haga clic en Protection Updates (Actualizaciones de protección)
  4. Seleccione Check for updates (Buscar actualizaciones)
  5. Vaya a Settings → About (Configuración → Acerca de)
  6. Asegúrese de que la Antimalware Client Version corresponde a las versiones 1.1.26040.8 o 4.18.26040.7 o superiores

Para entornos corporativos con gestión centralizada de actualizaciones mediante WSUS, SCCM o Intune, es necesario asegurarse de que las directivas no bloquean la actualización automática de los componentes de Defender. En las organizaciones que utilizan soluciones antivirus de terceros con Defender deshabilitado, estas vulnerabilidades no representan una amenaza; no obstante, se recomienda verificar el estado real del servicio en todos los endpoints.

Dada la explotación activa confirmada y el plazo de CISA del 3 de junio de 2026, la prioridad de mitigación de CVE-2026-41091 debe considerarse crítica: es necesario comprobar y actualizar de inmediato todos los sistemas con Microsoft Defender activo, prestando especial atención a servidores y estaciones de trabajo con acceso a datos sensibles o cuentas privilegiadas.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio