CVE-2026-45498: Defender nel KEV CISA, scade il 3 giugno
CISA inserisce CVE-2026-45498 nel catalogo KEV: DoS in Microsoft Defender con scadenza BOD 22-01 al 3 giugno 2026. Perché i dettagli tecnici mancano.
Contenuto
Il 20 maggio 2026 CISA ha inserito CVE-2026-45498 nel suo catalogo Known Exploited Vulnerabilities, classificandola come vulnerabilità Denial of Service nella piattaforma antimalware di Microsoft Defender. Le agenzie federali statunitensi e i loro fornitori hanno ora meno di due settimane per applicare le mitigazioni obbligatorie, in assenza di dettagli pubblici sull'exploit. I security team aziendali devono confrontarsi con una CVE attivamente sfruttata ma tecnicamente opaca.
- CVE-2026-45498 è una vulnerabilità DoS nel Microsoft Defender Antimalware Platform, con CWE-400 (Uncontrolled Resource Consumption)
- CISA ha fissato al 3 giugno 2026 il termine ultimo per le mitigazioni ai sensi della BOD 22-01
- La versione patchata disponibile è la 4.18.26040.7; le versioni affette partono dalla 4.18.26030.3011 inclusa
- NVD registra due vettori CVSS (network e locale) senza chiarire lo scenario d'attacco prevalente o la relazione tra i due
La BOD 22-01 e il conto alla rovescia di CISA
La Binding Operational Directive 22-01 impone alle agenzie governative federali USA di rimediare alle vulnerabilità catalogate nel KEV entro termini rigidi. Per CVE-2026-45498, la data di scadenza è il 3 giugno 2026. Non si tratta di un advisory consigliato: è un obbligo di conformità per centinaia di enti pubblici e per i contractor che gestiscono infrastrutture federali.
CISA non pubblica il catalogo KEV a scopo informativo generico. L'inserimento presuppone che la vulnerabilità sia stata oggetto di exploit attivi nel panorama delle minacce, anche se le fonti disponibili non specificano né l'attore né la campagna. Questa premessa mette i security team di fronte a un dilemma operativo: agire in fretta su un prodotto ubiquo come Microsoft Defender senza conoscere il vettore d'attacco prevalente.
Uncontrolled Resource Consumption: cosa dice il CWE-400
La classificazione CWE-400 indica un consumo non controllato di risorse: CPU, memoria, handle di sistema, spazio su disco o altri elementi che, esauriti, degradano o bloccano il servizio. Nel contesto di un motore antimalware, questo scenario è particolarmente insidioso. Un DoS riuscito non nega semplicemente un'applicazione secondaria: può disarmare la protezione attiva dell'endpoint, lasciando il sistema esposto a payload successivi.
I metadati NVD riportano due configurazioni CVSS 3.1 con vettori in conflitto apparente. Il primo presuppone attacco network (AV:N) con impatto availability alto (A:H). Il secondo indica attacco locale (AV:L) con impatto availability basso (A:L). NVD non risolve questa dualità: non chiarisce se si tratti di varianti della stessa falla, di superfici d'attacco distinte o di una ricalibrazione del punteggio. Questo limite rende impossibile, per chi legge solo l'aggregatore governativo, profilare correttamente la postura di rischio.
Il profilo delle versioni: cosa patchare
Il CPE (Common Platform Enumeration) nella scheda NVD delinea con precisione il perimetro affetto: versioni del Microsoft Defender Antimalware Platform da 4.18.26030.3011 inclusa fino a 4.18.26040.7 esclusa. La 4.18.26040.7 rappresenta quindi la prima versione non vulnerabile secondo i metadati disponibili.
Microsoft Defender viene distribuito attraverso canali diversi: aggiornamenti automatici di Windows Update, Microsoft Update, Windows Server Update Services (WSUS) e pipeline cloud per le istanze gestite. La BOD 22-01 include una clausola specifica per i servizi cloud, che impone di "seguire le istruzioni del vendor per le mitigazioni" o interrompere l'uso se le mitigazioni non sono disponibili. Le fonti al momento non dettagliano come questa clausola si applichi concretamente alle architetture Defender for Endpoint o Defender for Cloud.
"Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable." — CISA KEV Required Action, CVE-2026-45498
Cosa fare adesso
Per i security team che gestiscono endpoint Microsoft Defender, quattro azioni hanno priorità immediata:
Verificare la versione della piattaforma antimalware su tutti gli endpoint, con particolare attenzione ai server e ai sistemi con aggiornamenti differiti o con criteri WSUS personalizzati. La build 4.18.26040.7 o superiore esclude la vulnerabilità secondo i metadati NVD.
Mappare i sistemi governativi e i tenant federali anche indiretti: chiunque eroghi servizi a enti USA soggetti a BOD 22-01 deve documentare lo stato di patching entro il 3 giugno 2026, indipendentemente dal fatto che la propria organizzazione sia tecnicamente vincolata dalla direttiva.
Monitorare i consumi anomali di risorsa da parte dei processi Defender (MsMpEng.exe, MpCmdRun.exe e servizi correlati). Un consumo improvviso di CPU o memoria potrebbe essere indicativo di tentativo di attivazione della CWE-400, anche senza conferma del vettore specifico.
Attendere il vendor advisory completo di Microsoft senza derubricare la minaccia. L'assenza di dettagli tecnici pubblici non diminuisce la gravità del KEV; significa semplicemente che l'intelligence sull'exploit è circoscritta a CISA, al vendor e agli attori che la stanno già sfruttando.
Il vuoto informativo come variabile di rischio
L'inserimento nel KEV senza disclosure tecnica è una scelta operativa ricorrente di CISA, ma raramente su un prodotto così diffuso come Microsoft Defender. Il catalogo, nato nel 2021, privilegia l'azione rapida rispetto alla trasparenza completa: l'obiettivo è forzare la chiusura della finestra di exploit, non alimentare la ricerca accademica.
Per i difensori, però, questo approccio genera attrito. Un security engineer non può calibrare regole di rilevamento, segmentare la rete o addestrare il SOC su un indicatore di compromesso che non conosce. La conseguenza pratica è una patch cieca: necessaria, obbligatoria, ma priva del contesto che ne giustificherebe la priorità rispetto agli altri centinaia di CVE mensili. In questo caso specifico, la doppia natura del vettore CVSS aggrava l'incertezza, lasciando aperte interrogative sulla superficie d'attacco reale che i team devono difendere.
Domande frequenti
Perché CISA impone una scadenza se non pubblica i dettagli dell'exploit?
La BOD 22-01 è strutturata per ridurre la finestra di esposizione governativa indipendentemente dalla disponibilità pubblica di PoC o analisi tecniche. CISA comunica i dettagli riservati direttamente ai vendor e, quando necessario, agli enti federali attraverso canali non pubblici.
Il doppio vettore CVSS indica che la vulnerabilità è sia remota che locale?
Le fonti disponibili non risolvono questa ambiguità. NVD riporta entrambi i vettori senza spiegare se rappresentino scenari distinti, varianti della stessa falla o una revisione in corso della valutazione. Non è possibile, su base documentale, stabilire quale prevalga.
Gli utenti privati e le PMI sono obbligati alla patch entro il 3 giugno?
La BOD 22-01 vincola direttamente le agenzie federali USA e i loro fornitori. Le aziende private non soggette a contratti governativi non hanno un obbligo normativo, ma la presenza nel KEV indica exploit attivi che rendono l'aggiornamento consigliabile con urgenza operativa.
Fonti
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.