A Microsoft confirmou que duas vulnerabilidades críticas presentes no Microsoft Defender estão sendo exploradas ativamente em ataques reais. As falhas envolvem escalonamento local de privilégios e negação de serviço (DoS), afetando diretamente componentes do mecanismo de proteção antimalware da empresa.

A vulnerabilidade mais grave, identificada como CVE-2026-41091, recebeu pontuação CVSS 7.8 e permite que invasores obtenham privilégios SYSTEM — o nível mais alto de acesso no Windows. Segundo a Microsoft, o problema está relacionado a uma falha de resolução inadequada de links antes do acesso a arquivos, conhecida como “link following”. Esse comportamento pode permitir que um invasor autenticado abuse do Defender para elevar privilégios localmente dentro do sistema operacional.

Já a segunda falha, registrada como CVE-2026-45498, é uma vulnerabilidade de negação de serviço com pontuação CVSS 4.0. Embora menos crítica em termos de impacto técnico, ela também já está sendo explorada em ambientes reais. O defeito afeta o funcionamento do Defender e pode comprometer a disponibilidade do mecanismo de proteção da plataforma.

As duas vulnerabilidades foram corrigidas nas versões 1.1.26040.8 e 4.18.26040.7 da plataforma Microsoft Defender Antimalware. A Microsoft informou que sistemas com o Defender desativado não são afetados e destacou que as atualizações são distribuídas automaticamente por meio do mecanismo padrão de atualização de assinaturas e engine antimalware.

Apesar da confirmação de exploração ativa, a empresa ainda não divulgou detalhes técnicos sobre os vetores de ataque utilizados pelos invasores. Esse tipo de retenção de informação costuma ocorrer para evitar que grupos maliciosos acelerem campanhas de exploração antes que a maioria dos ambientes esteja corrigida.

A gravidade do cenário levou a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos, a Cybersecurity and Infrastructure Security Agency, a adicionar ambas as falhas ao catálogo Known Exploited Vulnerabilities (KEV). Com isso, agências federais civis norte-americanas passaram a ser obrigadas a aplicar as correções até 3 de junho de 2026.

A Microsoft também creditou cinco pesquisadores pela descoberta e divulgação responsável das falhas, incluindo Sibusiso, Diffract, Andrew C. Dorman (ACD421), Damir Moldovanov e um pesquisador anônimo.

Para verificar se o sistema está protegido, a Microsoft recomenda acessar o Windows Security, navegar até “Virus & threat protection”, selecionar “Protection Updates” e confirmar se as versões mais recentes da plataforma antimalware já foram instaladas.

O alerta surge poucos dias após a Microsoft divulgar outra vulnerabilidade explorada ativamente, desta vez afetando versões on-premise do Exchange Server. A falha CVE-2026-42897, classificada com CVSS 8.1, envolve cross-site scripting (XSS) e já estaria sendo utilizada em ataques reais contra ambientes corporativos.

Além das novas vulnerabilidades, a CISA também adicionou ao catálogo KEV diversas falhas antigas da Microsoft, incluindo problemas históricos do Internet Explorer, DirectX e Windows Server Service, alguns datados de 2008, 2009 e 2010. Entre eles está a CVE-2008-4250, famosa vulnerabilidade do serviço RPC do Windows explorada por worms e ataques automatizados ao longo dos anos.

Outro destaque foi a inclusão da CVE-2009-3459, uma vulnerabilidade de corrupção de memória no Adobe Acrobat e Reader capaz de permitir execução remota de código por meio de arquivos PDF maliciosos.

A movimentação reforça uma tendência observada nos últimos meses: a exploração contínua de vulnerabilidades antigas e recentes em ambientes Windows corporativos, muitas vezes combinadas em cadeias de ataque para escalonamento de privilégios, evasão de segurança e movimentação lateral dentro das redes.