Notebookcheck Logo

Microsoft corregge gli zero-days di Defender sfruttati negli attacchi dal vivo

Microsoft rilascia patch di emergenza per Defender per due zero-day attivamente sfruttati.
ⓘ Microsoft.com
Microsoft rilascia patch di emergenza per Defender per due zero-day attivamente sfruttati.
Microsoft ha rilasciato patch fuori banda per due zero-days di Defender attivamente sfruttati, RedSun e UnDefend, dopo che Huntress ha confermato l'uso reale negli attacchi.
Business Desktop Hack / Data Breach Laptop / Notebook Microsoft Software Windows

Il 21 maggio 2026, Microsoft ha distribuito patch fuori banda per due zero-days di Windows Defender che gli attacchi reali avevano già confermato. Il ricercatore Chaotic Eclipse ha rivelato entrambe le vulnerabilità, note pubblicamente come RedSun e UnDefend, senza una divulgazione coordinata. Non avevano CVE né correzioni al momento del rilascio. L'azienda di sicurezza endpoint Huntress ha confermato lo sfruttamento attivo prima che esistessero le patch.

Cosa fanno i due zero-day

La più grave delle due, CVE-2026-41091ha un punteggio CVSS di 7.8 e si rivolge al Microsoft Malware Protection Engine. La falla deriva da una risoluzione impropria del collegamento prima dell'accesso al file, che consente a un aggressore con un basso livello di privilegio di manipolare un collegamento simbolico o una giunzione di directory durante una scansione Defender e di passare al controllo completo a livello di SISTEMA. Non sono necessarie autorizzazioni di partenza elevate.

La seconda, CVE-2026-45498è classificato CVSS 4.0 e si rivolge alla piattaforma antimalware Microsoft Defender https://www.bleepingcomputer.com/news/security/microsoft-warns-of-new-defender-zero-days-exploited-in-attacks/. Funziona come un denial-of-service contro il motore di protezione stesso, bloccando silenziosamente gli aggiornamenti delle definizioni e degradando la capacità di Defender di rilevare nuove minacce. La falla riguarda System Center Endpoint Protection, System Center 2012 R2 e 2012 Endpoint Protection e Security Essentials, oltre alle installazioni Defender standard. Nessuna delle due vulnerabilità attiva un avviso visibile all'utente o all'amministratore durante lo sfruttamento.

Cosa copre la patch e cosa rimane aperto

Entrambi i CVE sono risolti nella versione 1.1.26040.8 di Malware Protection Engine e nella versione 4.18.26040.7 di Antimalware Platform. Microsoft distribuisce le correzioni automaticamente attraverso il meccanismo di aggiornamento integrato di Defender. Gli amministratori dovrebbero verificare che le loro distribuzioni eseguano queste versioni o versioni più recenti, in particolare negli ambienti air-gapped o gestiti, dove gli aggiornamenti automatici possono essere ritardati.

Il CISA ha aggiunto entrambe le vulnerabilità al suo catalogo Known Exploited Vulnerabilities il 20 maggio 2026, dando alle agenzie federali del ramo esecutivo civile tempo fino al 3 giugno per confermare la patch. Lo stesso aggiornamento del motore che risolve CVE-2026-41091 risolve anche una terza falla, CVE-2026-45584, un buffer overflow basato sull'heap con un CVSS di 8.1 che consente l'esecuzione di codice remoto senza interazione dell'utente. CVE-2026-45584 non è ancora stato confermato come sfruttato in natura.

RedSun e UnDefend sono il quarto e il quinto zero-day rilasciati da Chaotic Eclipse nelle ultime sei settimane, tutti mirati ai componenti di sicurezza di Windows. MiniPlasmache consente l'accesso al SISTEMA su macchine Windows 11 completamente patchate tramite il driver Cloud Filter, rimane senza patch. Per maggiori informazioni su questa rivelazione e sul suo contesto all'interno di una serie più ampia, consulti il nostro precedente rapporto:

Google LogoAdd as a preferred source on Google
Mail Logo

Articoli collegati

> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2026 05 > Microsoft corregge gli zero-days di Defender sfruttati negli attacchi dal vivo
Darryl Linington, 2026-05-22 (Update: 2026-05-22)