Defender zero-day sfruttati: CISA impone patch entro 3 giugno
Due vulnerabilità zero-day in Microsoft Defender sono attivamente sfruttate. CISA le ha inserite nel catalogo KEV con scadenza 3 giugno 2026.
Contenuto
Microsoft ha confermato il 21 maggio 2026 che due vulnerabilità in Microsoft Defender — CVE-2026-41091 e CVE-2026-45498 — sono attivamente sfruttate in the wild. La CISA ha immediatamente inserito entrambe nel catalogo Known Exploited Vulnerabilities con deadline fissata al 3 giugno 2026 per le agenzie federali civili statunitensi. La notizia trasforma in urgenza operativa ciò che fino a pochi giorni fa era una configurazione di sicurezza considerata sufficiente per milioni di endpoint enterprise.
Le due falle colpiscono componenti distinti dell'antivirus nativo di Windows: una consente l'elevazione locale a privilegi SYSTEM, l'altra può disarmare completamente il prodotto tramite denial-of-service. Entrambe erano già state rese pubbliche come proof-of-concept a inizio aprile dal ricercatore noto come Nightmare Eclipse.
- CVE-2026-41091 è una LPE nel Malware Protection Engine con CVSS 7.8: improper link resolution before file access permette di ottenere privilegi SYSTEM da utente locale già presente sul sistema
- CVE-2026-45498 è una vulnerabilità DoS con CVSS 4.0 nell'Antimalware Platform che può rendere Microsoft Defender non operativo, eliminando un intero strato difensivo
- CISA ha aggiunto entrambe al catalogo KEV il 21 maggio 2026 con scadenza di remediation al 3 giugno 2026, un intervallo di poco più di due settimane che segnala rischio elevato
- Huntress ha osservato attacker sfruttare le falle, identificate come RedSun e UnDefend, durante operazioni di incident response su sistemi compromessi
La catena da PoC a exploitation in the wild
Il percorso di queste vulnerabilità segue un pattern che sta diventando ricorrente nel ciclo di vita delle falle di sicurezza. Nightmare Eclipse — alias Chaos Eclipse — ha pubblicato proof-of-concept per tre vulnerabilità Defender il 3 e il 15 aprile 2026: BlueHammer, RedSun e UnDefend. I nomi non sono casuali: BlueHammer (CVE-2026-33825) era già stata inserita nel catalogo KEV a fine aprile, con credito ai ricercatori Zen Dodd e Yuanpei Xu. RedSun e UnDefend hanno impiegato circa un mese in più per passare da dimostrazione teorica a sfruttamento attivo confermato.
La velocità di transizione dipende da fattori non completamente chiari. Non è noto se le stesse falle siano state sfruttate da un unico attore o da campagne indipendenti, né è stato divulgato il vettore di accesso iniziale che precede l'escalation locale. Ciò che si sa con certezza è che Huntress, durante interventi di incident response, ha rilevato la presenza di exploit per RedSun e UnDefend su sistemi compromessi. La mancanza di attribuzione a un gruppo specifico non diminuisce la severità: la disponibilità pubblica del PoC abbassa la soglia di competenza richiesta per l'exploitation.
Microsoft non ha ringraziato ricercatori esterni per la segnalazione di CVE-2026-45498, un dettaglio che — pur non essendo prova di nulla — lascia intendere una possibile scoperta interna o rilevazione attraverso canali diversi dal responsible disclosure tradizionale.
La meccanica tecnica: LPE e DoS contro il nucleo di Defender
CVE-2026-41091 risiede nel Microsoft Malware Protection Engine, il componente che esegue la scansione e l'analisi dei file. La vulnerabilità è classificata come improper link resolution before file access ('link following'): un attaccante con accesso locale al sistema può manipolare la risoluzione dei link per far eseguire il motore di scansione su percorsi controllati, ottenendo alla fine l'escalation a privilegi SYSTEM. Il punteggio CVSS di 7.8 colloca la falla nella fascia "high", ma il contesto la rende critica: SYSTEM su un endpoint con Defender attivo significa controllo completo su un prodotto che per definizione opera con privilegi elevati.
Separatamente, CVE-2026-45498 colpisce il Microsoft Defender Antimalware Platform, l'infrastruttura che coordina aggiornamenti delle definizioni, pianificazione delle scansioni e comunicazione con i servizi cloud. Qui la vulnerabilità causa denial-of-service con punteggio CVSS 4.0, formalmente "medium". L'impatto operativo però sovrasta la metrica: un antivirus che smette di funzionare lascia il sistema esposto a qualsiasi minaccia successiva, trasformando un difetto di disponibilità in un amplificatore di rischio per l'intera postura di sicurezza.
"An attacker who successfully exploited this vulnerability could gain SYSTEM privileges" — Microsoft advisory (via Help Net Security)
Non è chiaro se i due difetti siano stati sfruttati in combinazione o isolatamente. Una catena logica — DoS per disarmare Defender, seguito da LPE per consolidare la presenza — è tecnicamente plausibile ma non confermata dalle fonti disponibili. La sola esistenza di entrambe le possibilità impone tuttavia una risposta che tratti il prodotto come parte del perimetro da difendere, non come presupposto intoccabile.
Il vincolo CISA e la pressione sulle enterprise
L'inserimento nel catalogo KEV il 21 maggio 2026 con scadenza al 3 giugno 2026 vincola legalmente le agenzie federali civili statunitensi, ma il segnale destinato al settore privato è altrettanto inequivocabile. CISA non impone deadline ravvicinate per vulnerabilità a basso impatto. L'intervallo di poco più di due settimane riflette una valutazione di risgio che le fonti secondarie non possono decodificare completamente, ma che le aziende con asset sensibili non possono ignorare.
La struttura di aggiornamento di Defender complica leggermente la risposta. Il Microsoft Malware Protection Engine si aggiorna automaticamente attraverso le definizioni malware, senza richiedere un ciclo di patch del sistema operativo. La versione corretta per CVE-2026-41091 è la 1.1.26040.8. Per CVE-2026-45498, la patch è disponibile nel Microsoft Defender Antimalware Platform versione 4.18.26040.7, sebbene una lieve ambiguità sussista tra le fonti sul percorso di aggiornamento esatto. Fonte 2 non specifica se la versione 4.18.26040.7 copra anche il Malware Protection Engine, generando incertezza che le redazioni di sicurezza enterprise dovranno chiarire con i propri canali Microsoft.
Microsoft ha sottolineato che "the default configuration in Microsoft antimalware software helps ensure that malware definitions and the Microsoft Malware Protection Engine are kept up to date automatically". Questa frase, presente nell'advisory, è a metà tra la rassicurazione e l'onere di verifica: gli ambienti enterprise con politiche di aggiornamento custom, proxy restrittivi o versioni legacy di Windows Server potrebbero non ricevere il fix secondo i tempi standard.
Cosa fare adesso
La natura stessa delle vulnerabilità — un prodotto di sicurezza che diventa vettore di attacco — richiede un'inversione di prospettiva operativa. Non è sufficiente presumere che gli aggiornamenti automatici funzionino; è necessario verificarlo come si verificherebbe una patch critica di un qualsiasi altro software.
- Verificare la versione del Malware Protection Engine: confermare che sia attiva la versione 1.1.26040.8 o successiva su tutti gli endpoint, inclusi quelli con policy di aggiornamento differito o pianificato
- Controllare la versione dell'Antimalware Platform: assicurarsi che sia distribuita la versione 4.18.26040.7, con attenzione particolare per i server Windows dove gli aggiornamenti platform possono essere gestiti separatamente dalle definizioni
- Audit dei sistemi con Defender disabilitato: Microsoft ha confermato che "systems with Microsoft Defender disabled are not exploitable, even though Defender's files remain on disk" — ma la presenza di file non aggiornati rappresenta un rischio di riattivazione non autorizzata o di bypass delle policy
- Rivedere la logica di blind trust negli aggiornamenti automatici: ambienti con proxy, segmentazione di rete o configurazioni hardenizzate devono esplicitare un canale di verifica indipendente per i componenti Defender, trattandoli con la stessa rigorosità riservata alle patch del sistema operativo
La deadline CISA del 3 giugno 2026 è un termine tecnico-giuridico per il settore pubblico federale, ma per le aziende rappresenta una linea di demarcazione tra risposta tempestiva e ritardo documentabile in caso di breach successivo.
Il paradosso del guardiano da difendere
La disamina tecnica lascia emergere un paradosso strutturale della sicurezza endpoint moderna. Microsoft Defender è progettato per operare con privilegi massimi, toccare ogni file, intercettare ogni processo. Questa visibilità totale, necessaria alla sua funzione, lo rende simultaneamente un obiettivo ad alto valore per chi cerca di sottrarsi al controllo. Le vulnerabilità CVE-2026-41091 e CVE-2026-45498 non sono falle di periferia: colpiscono il motore di scansione e la piattaforma di coordinamento, cioè gli organi vitali del prodotto.
La circostanza che proof-of-concept pubblicati a inizio aprile siano diventati exploitation confermata in meno di sei settimane conferma una tendenza osservata in altri contesti: la finestra tra disclosure e sfruttamento attivo si sta comprimendo in modo sistematico. Per le organizzazioni che hanno costruito la loro difesa endpoint su un singolo fornitore integrato, questo significa che la ridondanza non è più un lusso architettonico ma una necessità di contingenza. Non per sostituire Defender, ma per sopravvivere ai momenti in cui Defender stesso è compromesso o disarmato.
Il 3 giugno 2026 arriverà in fretta. La misura della risposta non sarà quante aziende hanno applicato la patch, ma quante hanno capito che l'antivirus nativo richiede ora lo stesso scetticismo operativo che riservano a qualsiasi altro software con privilegi di sistema.
FAQ
È necessario disinstallare Microsoft Defender per mitigare il rischio?
No. Microsoft ha confermato che i sistemi con Defender disabilitato non sono exploitabili, ma la rimozione completa non è richiesta né consigliabile: l'assenza di qualsiasi protezione endpoint espone a rischi di ordine superiore. La mitigazione corretta è verificare l'aggiornamento ai componenti patchati.
Perché la vulnerabilità DoS ha un CVSS più basso della LPE ma è considerata altrettanto urgente?
Il punteggio CVSS misura la severità tecnica della singola falla, non il suo impatto operativo in contesto. Un DoS che disarma l'antivirus principale di un endpoint può abilitare il successivo deploy di qualsiasi malware, trasformando una vulnerabilità "medium" in un moltiplicatore di rischio per l'intera postura di sicurezza.
Come verificare se gli aggiornamenti automatici di Defender stanno effettivamente funzionando?
Nelle versioni enterprise, la console Microsoft Defender Antivirus o gli strumenti di gestione endpoint (Intune, SCCM, GPO) devono mostrare versioni almeno 1.1.26040.8 per il Malware Protection Engine e 4.18.26040.7 per l'Antimalware Platform. La semplice presenza di "aggiornamenti automatici abilitati" non garantisce che i binary siano effettivamente arrivati, specialmente in reti con proxy o rate limiting.
Fonti
- https://www.helpnetsecurity.com/2026/05/21/microsoft-defender-vulnerabilities-cve-2026-41091-cve-2026-45498/
- https://www.securityweek.com/microsoft-patches-exploited-undefend-and-redsun-defender-zero-days/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.