Vulnerabilidades en Microsoft Defender Mayo 2026
Microsoft anunció actualizaciones de seguridad urgentes debido a la aparición de dos vulnerabilidades día cero en Microsoft Defender que se encuentran bajo explotación activa. CISA, la Agencia de Ciberseguridad y Seguridad en Infraestructura de EUA, confirmó la explotación de ambas vulnerabilidades por actores de amenaza, describiendo brevemente que se tratan de una vulnerabilidad de escalación de privilegios y otra de denegación de servicio.
CVE-2026-41091
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 7.8 (severidad alta), y afecta específicamente al componente: “Microsoft Malware Protection Engine”. La causa se encuentra en una mala validación al resolver rutas antes de acceder a un archivo, lo que genera que un atacante local con bajos privilegios pueda escalar su acceso en un sistema previamente vulnerado sin requerir interacción del usuario; es especialmente peligrosa ya que su explotación es de baja complejidad.
CVE-2026-45498
La segunda vulnerabilidad cuenta con una calificación CVSS3.1 de 4.0 (severidad media), la cual afecta al componente Defender Antimalware Platform, en conjunto con otros productos que lo implementan, como Microsoft System Center Endpoint Protection o Microsoft Security Essentials. Esta vulnerabilidad tiene una menor severidad, pero de todos modos puede permitir a un actor de amenaza interrumpir la disponibilidad del sistema sin requerir privilegios o interacción de un usuario. A pesar de que no impacta la confidencialidad ni integridad de la información, la disrupción de servicios puede presentar una oportunidad para encadenar otro tipo de ataques o dificultar la respuesta a incidentes.
Ambas vulnerabilidades pueden presentar un serio problema para las organizaciones, especialmente porque este tipo de vulnerabilidades suelen formar parte de cadenas de explotación por parte de actores de amenaza avanzados persistentes (APTs) y operaciones de grupos de ransomware.
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| Microsoft Malware Protection Engine | Sin especificar | Sin especificar |
| Microsoft Defender Antimalware Platform | Sin especificar | Versión 1.1.26040.8 en adelante Versión 4.18.26040.7 en adelante |
Recomendaciones
- Mantener todos los productos relacionados a Defender actualizados.
- Monitorear tráfico y obtención de privilegios que sean sospechosos.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Kathir, M. (2026, mayo 21). Microsoft Defender Zero-Day Vulnerabilities Actively Exploited in the Wild. GBHackers. Recuperado el 22 de mayo de 2026, en: https://gbhackers.com/microsoft-defender-zero-day-vulnerabilities/
- Winder, D. (2026, mayo 21). 2 New Microsoft Defender Zero-Days Exploited—Patch Now Rolling Out. Forbes. Recuperado el 22 de mayo de 2026, en: https://www.forbes.com/sites/daveywinder/2026/05/21/2-new-microsoft-defender-zero-days-exploited-patch-now-rolling-out/
