O que aconteceu

A Microsoft iniciou, na quarta-feira, a distribuição de atualizações de segurança para duas falhas no Microsoft Defender que já estavam sendo usadas em ataques. Isso torna o caso mais urgente: não se trata apenas de um problema teórico, mas de vulnerabilidades observadas em exploração real.

As falhas foram registradas como CVE-2026-41091 e CVE-2026-45498. Elas afetam componentes diferentes ligados à proteção antimalware da Microsoft, usada para varredura, detecção e limpeza de ameaças em dispositivos Windows.

Como as falhas funcionam

A CVE-2026-41091 afeta o Microsoft Malware Protection Engine nas versões 1.1.26030.3008 e anteriores. O problema está ligado a uma resolução incorreta de links antes do acesso a arquivos. Em termos simples, o sistema pode seguir um caminho de arquivo de forma insegura, permitindo que um invasor consiga privilégios de SYSTEM, um nível de controle muito alto no Windows.

A CVE-2026-45498 afeta o Microsoft Defender Antimalware Platform nas versões 4.18.26030.3011 e anteriores. Segundo a Microsoft, a exploração bem-sucedida pode causar negação de serviço, ou seja, deixar o dispositivo em um estado de falha ou indisponibilidade.

Quem pode estar exposto

O alerta cita sistemas com Microsoft Defender Antimalware Platform sem correção e também produtos que usam a mesma base de proteção. Entre eles estão:

• Microsoft Defender em dispositivos Windows sem a versão corrigida.
• System Center Endpoint Protection.
• System Center 2012 R2 Endpoint Protection.
• System Center 2012 Endpoint Protection.
• Security Essentials.

O principal sinal de atenção é encontrar versões iguais ou anteriores às afetadas: 1.1.26030.3008 para o engine e 4.18.26030.3011 para a plataforma antimalware.

O que fazer agora

A Microsoft informou versões corrigidas: 1.1.26040.8 e 4.18.26040.7. A empresa também indicou que, na configuração padrão, os clientes normalmente não precisam agir manualmente porque o software antimalware recebe atualizações automaticamente.

Mesmo assim, em ambiente corporativo, é recomendável confirmar a aplicação das correções. Priorize servidores, estações críticas, máquinas de administradores e dispositivos que tenham histórico de atualização atrasada.

• Verifique se as versões corrigidas já aparecem nos endpoints.
• Monitore falhas incomuns do Defender ou indisponibilidade de proteção.
• Confirme se políticas internas não estão bloqueando atualizações automáticas.

Checklist pratico

1. Inventarie máquinas Windows que usam Microsoft Defender ou produtos Endpoint Protection citados no alerta.
2. Compare as versões instaladas com 1.1.26040.8 e 4.18.26040.7, priorizando as que estiverem abaixo disso.
3. Registre exceções, máquinas sem atualização e casos de falha para tratamento rápido pela equipe de TI.

Perguntas frequentes

O que é uma falha zero-day?

É uma vulnerabilidade explorada antes que a correção esteja amplamente disponível ou aplicada. Neste caso, a Microsoft informou que as duas falhas já foram usadas em ataques.

Preciso desinstalar o Microsoft Defender?

Não. A ação indicada é garantir que as atualizações de segurança tenham sido aplicadas. Remover a proteção pode aumentar o risco.

Quais versões corrigem o problema?

O alerta cita as versões 1.1.26040.8 e 4.18.26040.7 como correções para as vulnerabilidades informadas.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://www.bleepingcomputer.com/news/security/microsoft-warns-of-new-defender-zero-days-exploited-in-attacks/