CVE-2026-41091: il motore Defender diventa vettore LPE

CVE-2026-41091: il motore Defender diventa vettore LPE

Il 20 maggio 2026, il CISA ha ufficialmente inserito nel catalogo Known Exploited Vulnerabilities (KEV) la CVE-2026-41091. Si tratta di una falla critica di tipo "link following" individuata nel Microsoft Malware Protection Engine, il nucleo pulsante della difesa di Windows. Questa vulnerabilità trasforma lo strumento preposto alla sicurezza in un potenziale vettore di attacco, permettendo un'escalation di privilegi locali (LPE) fino al livello SYSTEM.

L'aggiunta al catalogo KEV non è un semplice atto burocratico, ma una conferma dell'esistenza di exploit attivi in-the-wild. Per le agenzie del ramo esecutivo federale degli Stati Uniti (FCEB), questo comporta un obbligo di remediation tassativo entro il 3 giugno 2026. La rapidità con cui Microsoft e le autorità di sicurezza hanno risposto sottolinea la severità del rischio, nonostante il vettore richieda un accesso iniziale alla macchina.

Il paradosso del prodotto di sicurezza come superficie d'attacco

La CVE-2026-41091 illustra perfettamente un pattern ricorrente nella sicurezza informatica: i software di difesa, per operare efficacemente, devono possedere privilegi superiori a quelli dei normali meccanismi di protezione del sistema operativo. Il Microsoft Malware Protection Engine deve poter ispezionare ogni file, processo e settore del disco per identificare minacce. Questa necessità architettonica richiede che il motore giri costantemente con i privilegi SYSTEM, il livello più alto possibile in Windows.

Tuttavia, questa visibilità totale crea un'asimmetria pericolosa. Qualsiasi bug logico o di implementazione all'interno del motore eredita automaticamente quei privilegi massimi. In questo caso, una debolezza nella gestione della risoluzione dei link ha permesso agli attaccanti di ribaltare il ruolo di Defender: da guardiano a complice involontario per ottenere il controllo totale dell'host. Quando lo strumento di sicurezza diventa il punto di ingresso, le difese standard perdono di efficacia.

Questa vulnerabilità non è un caso isolato nella storia del software antimalware, ma la sua combinazione con uno sfruttamento attivo e una scadenza governativa vincolante ne fa un caso di studio critico. La fiducia che gli utenti e le organizzazioni ripongono nell'automazione della sicurezza deve essere sempre accompagnata da una verifica puntuale, poiché l'invulnerabilità di questi sistemi è, tecnicamente, un'illusione necessaria ma rischiosa.

Analisi tecnica: il meccanismo del Link Following (CWE-59)

Il cuore della falla risiede in quella che viene definita "Improper link resolution before file access", catalogata come CWE-59. Secondo la documentazione ufficiale Microsoft riportata dall'NVD, la vulnerabilità permette a un utente locale autenticato di manipolare il modo in cui il motore di protezione risolve i link simbolici o le junction del filesystem durante le operazioni di scansione o manutenzione ordinaria.

In un attacco tipico di link following, un malintenzionato posiziona un link in un percorso che sa verrà processato da un servizio privilegiato. Se il servizio non verifica correttamente l'origine e la destinazione del link prima dell'accesso, può essere ingannato e indotto a eseguire operazioni (lettura, scrittura o cancellazione) su file di sistema critici a cui l'utente originale non avrebbe mai avuto accesso diretto.

Nel contesto di Defender, un utente con privilegi limitati può creare una junction che punta a file sensibili del sistema operativo. Quando il Malware Protection Engine analizza quel percorso con i suoi privilegi SYSTEM, risolve il link e opera sul file destinazione. Questo permette all'attaccante di scavalcare le restrizioni di accesso standard, ottenendo un'escalation completa dei privilegi e il controllo amministrativo totale della macchina Windows.

Il peso del CVSS 7.8 e la classificazione CISA KEV

La CVE-2026-41091 è stata valutata con un punteggio CVSS v3.1 di 7.8. Sebbene non rientri nella categoria "Critical" (riservata solitamente ai bug con punteggio 9.0 o superiore), la sua pericolosità reale è elevatissima. Il vettore di attacco è locale (AV:L), il che significa che l'attaccante deve già avere un piede nel sistema, magari tramite una compromissione iniziale via phishing o l'abuso di credenziali utente.

La complessità dell'attacco è classificata come bassa (AC:L), indicando che non servono condizioni particolari o timing estremamente precisi per riuscire nell'exploit. Inoltre, non è richiesta alcuna interazione da parte dell'utente (UI:N). Questo rende l'escalation silenziosa: una volta che l'attaccante ha eseguito il codice malevolo iniziale, può diventare SYSTEM senza che l'utente o l'amministratore si accorgano dell'anomalia nel comportamento di Defender.

L'inclusione nel catalogo CISA KEV il 20 maggio 2026 conferma che la vulnerabilità non è più solo una minaccia teorica descritta dai ricercatori. Esistono prove concrete di sfruttamento in scenari reali. La scadenza del 3 giugno 2026 imposta dal CISA per la remediation obbligatoria serve a chiudere questa finestra di opportunità per gli attaccanti prima che il metodo di exploit diventi di dominio pubblico ancora più vasto.

Versioni affette e distribuzione della patch 1.1.26040.8

Il perimetro dell'esposizione è chiaramente delimitato dai dati forniti dall'NVD e da Microsoft. Le configurazioni CPE indicano che sono affette tutte le versioni del Microsoft Malware Protection Engine comprese nel range che va dalla 1.1.26030.3008 (inclusa) fino alla 1.1.26040.8 (esclusa). Qualsiasi sistema che esegua una versione all'interno di questo intervallo è potenzialmente vulnerabile all'escalation dei privilegi.

Microsoft ha indirizzato il problema rilasciando la versione 1.1.26040.8 della piattaforma antimalware. Un aspetto fondamentale sottolineato dal produttore è che l'aggiornamento del motore avviene solitamente in background senza intervento manuale. Come riportato da fonti di settore, Microsoft ha chiarito che i sistemi che hanno disabilitato Defender non sono suscettibili alla vulnerabilità, poiché il codice affetto non è in esecuzione.

Tuttavia, questo non deve indurre a un falso senso di sicurezza. Il rischio persiste per gli ambienti che utilizzano sistemi di gestione degli aggiornamenti centralizzati (come WSUS o SCCM) con policy restrittive che potrebbero ritardare la distribuzione automatica del motore antimalware. Inoltre, se un sistema con Defender disabilitato dovesse essere riattivato senza una connessione immediata per scaricare la versione patchata, si troverebbe istantaneamente in una condizione di vulnerabilità.

"Successful exploitation of the flaw could allow an attacker to gain SYSTEM privileges" — The Hacker News, riportando il bollettino ufficiale Microsoft sulla CVE-2026-41091

Cosa fare adesso

La priorità assoluta per i team IT e i responsabili della sicurezza è la verifica dell'avvenuta patch. Sebbene l'automazione sia la norma per Defender, esistono eccezioni operative che possono lasciare i sistemi esposti oltre la scadenza del 3 giugno.

In primo luogo, è necessario verificare l'attuale versione del motore sui sistemi critici. È possibile farlo rapidamente aprendo una sessione PowerShell con privilegi amministrativi ed eseguendo il comando: Get-MpComputerStatus | Select-Object EngineVersion, AMProductVersion. Se la EngineVersion restituita è inferiore alla 1.1.26040.8, il sistema richiede un aggiornamento immediato attraverso i canali di Windows Update.

In secondo luogo, bisogna esaminare le Policy di Gruppo (GPO) o le configurazioni MDM per assicurarsi che non vi siano restrizioni che blocchino gli aggiornamenti delle definizioni e della piattaforma antimalware. Spesso, nei tentativi di ottimizzare le prestazioni o evitare riavvii imprevisti, vengono introdotte configurazioni che involontariamente impediscono a Defender di mantenere il proprio motore aggiornato all'ultima versione di sicurezza.

Infine, per le infrastrutture air-gapped o segmentate che non hanno accesso diretto ai server Microsoft, è indispensabile procedere all'aggiornamento manuale. Microsoft fornisce pacchetti di aggiornamento offline per la piattaforma antimalware che devono essere importati e distribuiti tempestivamente. Ignorare questi sistemi isolati basandosi sulla loro mancanza di connettività è un errore, poiché un attaccante che superi il perimetro fisico o di rete troverebbe in Defender un alleato per l'escalation locale.

Conclusioni: l'importanza della verifica proattiva

La CVE-2026-41091 ci ricorda che l'automazione, per quanto efficace, non sostituisce la vigilanza. Il fatto che un prodotto di sicurezza leader di mercato possa essere trasformato in un punto di cedimento evidenzia la necessità di una difesa in profondità. Le organizzazioni non devono limitarsi a confidare nel fatto che gli aggiornamenti avvengano "da soli", ma devono integrare la verifica della versione del motore antimalware nei loro controlli di compliance regolari.

L'attenzione prestata dal CISA a questa specifica falla sottolinea come l'abuso dei privilegi locali sia una componente essenziale delle catene di attacco moderne. Un'escalation a SYSTEM permette agli attaccanti di disabilitare ulteriori controlli di sicurezza, esfiltrare dati protetti e muoversi lateralmente nella rete con l'identità dell'host stesso. Mitigare questa vulnerabilità significa interrompere una fase cruciale di molti attacchi mirati.

Entro il 3 giugno 2026, ogni endpoint Windows dovrebbe aver superato la versione 1.1.26040.8. Oltre quella data, ogni sistema non aggiornato rappresenterà un rischio calcolato ma inaccettabile, specialmente in un panorama dove gli exploit per bug di link following sono diventati strumenti standard nel kit di ogni avversario mediamente sofisticato.

Le informazioni contenute in questo articolo sono state verificate sulle fonti primarie e aggiornate al momento della pubblicazione per garantire la massima accuratezza tecnica.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://nvd.nist.gov/vuln/detail/CVE-2026-41091
• https://thehackernews.com/2026/05/microsoft-warns-of-two-actively.html