Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Microsoft Defender sotto attacco: due CVE sfruttate ora, rischio SYSTEM e blocchi del servizio
Microsoft ha segnalato due vulnerabilita di sicurezza in Microsoft Defender attivamente sfruttate in attacchi reali, un tema critico per chi gestisce endpoint Windows in azienda e in ambito domestico.
La prima falla, CVE 2026 41091, e una vulnerabilita di escalation dei privilegi con punteggio CVSS 7.8. In pratica, tramite una gestione non corretta della risoluzione dei link prima dell accesso ai file, un attaccante gia autorizzato sul sistema puo elevare i privilegi in locale fino a ottenere permessi SYSTEM, il livello piu alto su Windows. Questo scenario aumenta il rischio di compromissione completa della macchina, persistenza e disabilitazione di controlli di sicurezza.
La seconda vulnerabilita, CVE 2026 45498, e un problema di denial of service con punteggio CVSS 4.0 che impatta Defender e puo causare interruzioni del servizio o malfunzionamenti che riducono la capacita di protezione. Anche se il punteggio e piu basso, il fatto che sia sfruttata attivamente la rende rilevante per la continuita operativa e per la postura di sicurezza complessiva.
Le correzioni sono state distribuite tramite aggiornamenti della piattaforma antimalware di Microsoft Defender. In particolare, gli aggiornamenti che risolvono i problemi sono inclusi nelle versioni 1.1.26040.8 e 4.18.26040.7 della Microsoft Defender Antimalware Platform. Microsoft indica che in genere non e richiesta alcuna azione manuale perche Defender aggiorna automaticamente definizioni e motore di protezione, ma in contesti gestiti e consigliabile verificare che i client ricevano effettivamente gli update.
Come verificare lo stato degli aggiornamenti su Windows
- Aprire Windows Security.
- Entrare in Virus and threat protection.
- Aprire Protection Updates e avviare Check for updates.
- Verificare nella sezione About il valore di Antimalware ClientVersion per confermare la versione della piattaforma installata.
Le due CVE sono state anche inserite nel catalogo Known Exploited Vulnerabilities, elemento che evidenzia la priorita di applicare le patch e ridurre rapidamente la superficie di attacco sugli endpoint.