Microsoft ha distribuito aggiornamenti di emergenza per Microsoft Defender, dopo la scoperta di due vulnerabilità gravi già sfruttate in attacchi reali. Il problema è particolarmente delicato perché riguarda il motore antimalware integrato in Windows, cioè il componente che dovrebbe proteggere il sistema e non esporlo a nuovi rischi.
Le falle sono state inserite nel catalogo KEV della CISA, segnale che gli exploit circolano già attivamente. In pratica, non si tratta di vulnerabilità teoriche: gli aggressori le stanno usando per ottenere vantaggi concreti, come l’esecuzione di codice, l’interruzione dei servizi o l’escalation dei privilegi.
Microsoft Defender e le nuove vulnerabilità
La prima vulnerabilità, CVE-2026-41091, colpisce il Microsoft Malware Protection Engine fino alla versione 1.1.26030.3008. Microsoft la descrive come un caso di gestione errata dei collegamenti prima dell’accesso ai file, una debolezza che può essere sfruttata per indurre il motore antimalware a operare su percorsi manipolati.
Se un attaccante ha già ottenuto un accesso iniziale alla macchina, può provare a usare link simbolici, hard link o altre tecniche locali per indirizzare le operazioni del servizio verso file arbitrari. Il rischio è l’acquisizione dei privilegi SYSTEM, cioè il livello più alto in ambiente Windows. È una strada spesso usata nei casi di escalation locale, soprattutto quando l’obiettivo è trasformare un accesso limitato in controllo completo del dispositivo.
La seconda falla, CVE-2026-45498, interessa invece la Microsoft Defender Antimalware Platform fino alla release 4.18.26030.3011. In questo caso il problema può provocare un denial of service, con possibili crash del servizio di protezione, blocco delle scansioni o consumo anomalo di risorse.
Rischi per Windows e ambienti enterprise
Questa vulnerabilità non riguarda solo Windows 10 e Windows 11. Microsoft segnala infatti un impatto anche su prodotti ancora diffusi in molte reti aziendali, come System Center Endpoint Protection, System Center 2012 Endpoint Protection, System Center 2012 R2 Endpoint Protection e Security Essentials. In contesti legacy o industriali, un guasto sul layer antimalware può tradursi in una temporanea neutralizzazione delle difese.
Microsoft ha già rilasciato nuove versioni del motore e della piattaforma Defender: Malware Protection Engine 1.1.26040.8 e Defender Antimalware Platform 4.18.26040.7. Gli aggiornamenti arrivano in modo indipendente dal consueto ciclo Patch Tuesday e vengono distribuiti tramite i normali canali di aggiornamento di Windows.
Cosa verificare subito sui sistemi
In teoria, nella configurazione predefinita, Defender dovrebbe aggiornarsi automaticamente. Nella pratica però molte aziende rinviano gli update, soprattutto su server legacy, ambienti OT o infrastrutture con policy di gestione restrittive. Per questo Microsoft raccomanda di controllare manualmente la versione installata tramite la sezione Sicurezza di Windows oppure con PowerShell, usando il comando Get-MpComputerStatus | Select-Object AMProductVersion, AMEngineVersion.
Il motivo per cui gli attaccanti prendono di mira Microsoft Defender è semplice: il software lavora con privilegi elevati, analizza continuamente file e processi e rappresenta un bersaglio ideale per chi vuole aggirare le difese. Per gruppi ransomware e operatori APT, una falla nel motore antimalware può diventare il passaggio decisivo per completare l’attacco.
