Microsoft corrige falhas zero-day no Defender

A Microsoft disponibilizou correções para duas vulnerabilidades no Microsoft Defender que estavam a ser exploradas como zero-day. As falhas afetam a plataforma Microsoft Defender Antimalware e foram corrigidas na versão 4.18.26040.7.

A primeira vulnerabilidade, identificada como CVE-2026-41091, recebeu uma classificação CVSS de 7.8 e permite elevação local de privilégios até nível System. Segundo a Microsoft, o problema resulta de uma falha de resolução incorreta de ligações antes do acesso a ficheiros.

A segunda falha, CVE-2026-45498, tem classificação CVSS de 4.0 e pode ser explorada para provocar condições de negação de serviço (DoS).

A empresa confirmou que ambas as vulnerabilidades foram divulgadas publicamente e exploradas em ataques reais, embora não tenha revelado detalhes técnicos adicionais sobre os incidentes.

De acordo com Fabian Bader, Microsoft MVP, citado pela SecurityWeek, as duas falhas correspondem às variantes RedSun e UnDefend do exploit BlueHammer, divulgado publicamente no mês passado pelo investigador Chaos Eclipse. O BlueHammer também terá sido utilizado em ataques ativos.

A Cybersecurity and Infrastructure Security Agency (CISA) adicionou as duas vulnerabilidades ao catálogo Known Exploited Vulnerabilities (KEV), recomendando às agências federais norte-americanas a aplicação das correções até 3 de junho.

A CISA incluiu ainda no catálogo outras cinco vulnerabilidades antigas que continuam a ser exploradas. Entre elas estão a CVE-2008-4250, relacionada com execução remota de código no serviço Server de versões antigas do Windows, e a CVE-2009-1537, uma falha no Microsoft DirectX explorável através de ficheiros QuickTime manipulados.

A Microsoft refere que sistemas com o Defender desativado não são vulneráveis, mesmo que os ficheiros da solução permaneçam presentes no disco.