Microsoft confirmou a exploração ativa de duas vulnerabilidades zero-day no Microsoft Defender, rastreadas como CVE-2026-41091 e CVE-2026-45498. A primeira permite escalação de privilégios para nível SYSTEM, enquanto a segunda possibilita que atacantes bloqueiem atualizações de definições do antivírus em sistemas Windows não corrigidos.
O que é cada falha
A CVE-2026-41091 (CVSS 7.8), apelidada de RedSun, afeta o Microsoft Malware Protection Engine versão 1.1.26030.3008 e anteriores. Trata-se de uma falha de resolução imprópria de links (link following) que permite a atacantes elevar seus privilégios para o nível SYSTEM, o mais alto no Windows.
A CVE-2026-45498 (CVSS 4.0), conhecida como UnDefend, atinge o Microsoft Defender Antimalware Platform 4.18.26030.3011 e anteriores. Explorada por usuários padrão sem privilégios administrativos, permite bloquear as atualizações de definições do Defender, deixando o sistema sem proteção contra malwares novos.
Ambas as vulnerabilidades foram divulgadas pelo pesquisador que usa o pseudônimo “Nightmare Eclipse”. As falhas foram detectadas em exploração ativa antes que a Microsoft disponibilizasse correções, configurando um cenário de zero-day.
| CVE | Nome | CVSS | Impacto | Versão corrigida |
|---|---|---|---|---|
| CVE-2026-41091 | RedSun | 7.8 | Escalação para SYSTEM | 1.1.26040.8 |
| CVE-2026-45498 | UnDefend | 4.0 | Bloqueio de atualizações | 4.18.26040.7 |
| CVE-2026-33825 | BlueHammer | — | Parte da cadeia de ataque | Corrigido (abril/2026) |
A cadeia de ataque
A Huntress, empresa de resposta a incidentes, observou atacantes encadeando RedSun e UnDefend com uma terceira vulnerabilidade, a BlueHammer (CVE-2026-33825), criando uma cadeia de exploração completa. O fluxo de ataque segue três etapas: primeiro, o BlueHammer é usado para desabilitar proteções; em seguida, o UnDefend bloqueia as atualizações de definições do Defender; por fim, o RedSun escala os privilégios do atacante para nível SYSTEM.
Com o antivírus neutralizado e privilégios máximos obtidos, o atacante instala ferramentas de persistência, exfiltra dados ou implanta ransomware. A combinação das três falhas transforma vulnerabilidades individuais de severidade moderada em um cenário de comprometimento total do endpoint.
Quem está em risco
Todos os sistemas Windows com Microsoft Defender são afetados, incluindo endpoints corporativos e servidores. Produtos que utilizam o mesmo motor de proteção incluem System Center Endpoint Protection, System Center 2012 R2 Endpoint Protection, System Center 2012 Endpoint Protection e Security Essentials.
A CISA adicionou ambas as vulnerabilidades ao catálogo KEV (Known Exploited Vulnerabilities) e ordenou que agências federais americanas apliquem as correções até 3 de junho de 2026. A classificação da CISA reforça que esse tipo de falha é um vetor de ataque frequente por atores maliciosos e representa risco significativo para o setor público e privado.
Como atualizar o Defender
Em condição padrão, o Windows atualiza automaticamente as definições e a plataforma do Defender. Para verificar se a correção foi aplicada, abra o Windows Security, navegue até “Proteção contra ameaças”, clique em “Atualizações de proteção” e selecione “Verificar atualizações”. Depois, acesse “Configurações” e “Sobre” para conferir o número da versão do cliente antimalware.
A versão do Malware Protection Engine deve ser 1.1.26040.8 ou superior, e a plataforma antimalware deve estar na versão 4.18.26040.7 ou mais recente. Em ambientes corporativos gerenciados por política de grupo ou soluções MDM, verifique se as políticas de atualização automática estão ativas e se os endpoints receberam as definições mais recentes.
Revise logs de detecção do Defender em busca de anomalias entre abril e maio de 2026. Se a cadeia BlueHammer-RedSun-UnDefend foi utilizada em seu ambiente, pode haver sinais de definições desatualizadas em períodos suspeitos ou processos inusuais executando com privilégios SYSTEM sem justificativa.