Microsoft parchea los zero-days de Defender explotados en ataques en directo

El 21 de mayo de 2026, Microsoft lanzó parches fuera de banda para dos zero-days de Windows Defender que ataques reales ya habían confirmado. El investigador Chaotic Eclipse reveló ambas vulnerabilidades, conocidas públicamente como RedSun y UnDefend, sin una divulgación coordinada. No tenían CVE ni correcciones cuando se publicaron por primera vez. La empresa de seguridad de puntos finales Huntress confirmó la explotación activa antes de que existieran los parches.

Qué hacen los dos días cero

El más grave de los dos, CVE-2026-41091tiene una puntuación CVSS de 7,8 y está dirigido al motor de protección contra malware de Microsoft. El fallo se deriva de una resolución inadecuada de enlaces antes del acceso a archivos, lo que permite a un atacante con pocos privilegios manipular un enlace simbólico o una unión de directorios durante un análisis de Defender y escalar a un control total a nivel de SISTEMA. No se requieren permisos elevados de inicio.

El segundo, CVE-2026-45498, está clasificado como CVSS 4.0 y tiene como objetivo la plataforma antimalware Microsoft Defender https://www.bleepingcomputer.com/news/security/microsoft-warns-of-new-defender-zero-days-exploited-in-attacks/. Funciona como una denegación de servicio contra el propio motor de protección, bloqueando silenciosamente las actualizaciones de definiciones y degradando la capacidad de Defender para detectar nuevas amenazas. El fallo afecta a System Center Endpoint Protection, System Center 2012 R2 y 2012 Endpoint Protection, y Security Essentials, además de a las instalaciones estándar de Defender. Ninguna de las dos vulnerabilidades desencadena una alerta visible para el usuario o el administrador durante su explotación.

Qué cubre el parche y qué permanece abierto

Ambos CVE se resuelven en la versión 1.1.26040.8 de Malware Protection Engine y en la versión 4.18.26040.7 de Antimalware Platform. Microsoft entrega las correcciones automáticamente a través del mecanismo de actualización integrado de Defender. Los administradores deben confirmar que sus despliegues están ejecutando esas versiones o más recientes, en particular en entornos protegidos por aire o gestionados, donde las actualizaciones automáticas pueden retrasarse.

CISA añadió ambas vulnerabilidades a su Known Exploited Vulnerabilities catálogo el 20 de mayo de 2026, dando a las agencias de la rama ejecutiva civil federal hasta el 3 de junio para confirmar el parcheado. La misma actualización del motor que resuelve CVE-2026-41091 también aborda un tercer fallo, CVE-2026-45584, un desbordamiento de búfer basado en heap con un CVSS de 8,1 que permite la ejecución remota de código sin interacción del usuario. Todavía no se ha confirmado que CVE-2026-45584 haya sido explotado in the wild.

RedSun y UnDefend son el cuarto y quinto día cero publicados por Chaotic Eclipse en las últimas seis semanas, todos ellos dirigidos contra componentes de seguridad de Windows. MiniPlasma, que da acceso a SYSTEM en máquinas Windows 11 totalmente parcheadas a través del controlador Cloud Filter, sigue sin parchear. Para más información sobre esa revelación y su contexto dentro de la serie más amplia, consulte nuestro informe anterior: