Notebookcheck Logo

Microsoft corrige os zero-days do Defender explorados em ataques ao vivo

A Microsoft emite correções de emergência para o Defender para dois dias zero ativamente explorados.
ⓘ Microsoft.com
A Microsoft emite correções de emergência para o Defender para dois dias zero ativamente explorados.
A Microsoft emitiu correções out-of-band para dois zero-days do Defender ativamente explorados, RedSun e UnDefend, depois que a Huntress confirmou o uso real em ataques.
Business Desktop Hack / Data Breach Laptop / Notebook Microsoft Software Windows

Em 21 de maio de 2026, a Microsoft lançou correções fora de banda para dois zero-days do Windows Defender que ataques reais já haviam confirmado. O pesquisador Chaotic Eclipse divulgou as duas vulnerabilidades, conhecidas publicamente como RedSun e UnDefend, sem uma divulgação coordenada. Elas não tinham CVEs nem correções quando foram lançadas pela primeira vez. A empresa de segurança de endpoints Huntress confirmou a exploração ativa antes que os patches existissem.

O que os dois dias zero fazem

O mais grave dos dois, CVE-2026-41091tem uma pontuação CVSS de 7,8 e tem como alvo o Microsoft Malware Protection Engine. A falha decorre de uma resolução inadequada de link antes do acesso ao arquivo, o que permite que um invasor com pouco privilégio manipule um link simbólico ou uma junção de diretório durante uma varredura do Defender e passe a ter controle total no nível do SISTEMA. Não são necessárias permissões iniciais elevadas.

A segunda, CVE-2026-45498é classificado como CVSS 4.0 e tem como alvo o Microsoft Defender Antimalware Platform. Ela funciona como uma negação de serviço contra o próprio mecanismo de proteção, bloqueando silenciosamente as atualizações de definições e degradando a capacidade do Defender de detectar novas ameaças. A falha afeta o System Center Endpoint Protection, o System Center 2012 R2 e o 2012 Endpoint Protection e o Security Essentials, além das instalações padrão do Defender. Nenhuma das vulnerabilidades aciona um alerta visível para o usuário ou administrador durante a exploração.

O que a correção cobre e o que permanece em aberto

Ambos os CVEs são resolvidos no Malware Protection Engine versão 1.1.26040.8 e na Antimalware Platform versão 4.18.26040.7. A Microsoft fornece as correções automaticamente por meio do mecanismo de atualização integrado do Defender. Os administradores devem confirmar se suas implantações estão executando essas versões ou mais recentes, especialmente em ambientes gerenciados ou com air-gap, onde as atualizações automáticas podem ser atrasadas.

A CISA adicionou ambas as vulnerabilidades ao seu catálogo Known Exploited Vulnerabilities em 20 de maio de 2026, dando às agências do Poder Executivo Civil Federal até 3 de junho para confirmar a correção. A mesma atualização do mecanismo que resolve a CVE-2026-41091 também aborda uma terceira falha, a CVE-2026-45584, um estouro de buffer baseado em heap com um CVSS de 8,1 que permite a execução remota de código sem a interação do usuário. A CVE-2026-45584 ainda não foi confirmada como explorada na natureza.

O RedSun e o UnDefend são o quarto e o quinto zero-days lançados pelo Chaotic Eclipse nas últimas seis semanas, todos direcionados a componentes de segurança do Windows. MiniPlasmaque dá acesso ao SYSTEM em máquinas Windows 11 totalmente corrigidas por meio do driver Cloud Filter, continua sem correção. Para saber mais sobre essa divulgação e seu contexto dentro da série mais ampla, consulte nosso relatório anterior:

Google LogoAdd as a preferred source on Google
Mail Logo

Artigos Relacionados

> Análises e revisões de portáteis e celulares > Notícias > Arquivo de notícias 2026 05 > Microsoft corrige os zero-days do Defender explorados em ataques ao vivo
Darryl Linington, 2026-05-22 (Update: 2026-05-22)