Introducción
El miércoles pasado, Microsoft lanzó actualizaciones críticas para subsanar dos vulnerabilidades de zero-day en Microsoft Defender que ya están siendo explotadas en ataques reales. Según el aviso oficial, el primero de estos fallos (CVE-2026-41091) permite a un atacante escalar privilegios de usuario a SYSTEM mediante un error en la resolución de enlaces simbólicos antes de acceder a archivos (link following). El segundo (CVE-2026-45498) provoca condiciones de denegación de servicio (DoS) en dispositivos Windows sin parchear, afectando a la Plataforma Antimalware de Defender 4.18.26030.3011 y versiones anteriores.
Lo más relevante para equipos de DevOps, infraestructura y seguridad es que Microsoft no exige acciones manuales para aplicar los parches, ya que las actualizaciones del Motor de Protección contra Malware y la Plataforma Antimalware se distribuyen automáticamente en configuraciones por defecto. Sin embargo, el riesgo de explotación activa obliga a verificar manualmente que los parches se hayan aplicado correctamente y que las actualizaciones automáticas estén habilitadas, especialmente en entornos empresariales y de cloud.
Qué ocurrió
Microsoft identificó dos vectores de ataque distintos en componentes críticos de su suite de seguridad:
- CVE-2026-41091: Afecta al Microsoft Malware Protection Engine (versiones ≤ 1.1.26030.3008). Este motor es responsable del escaneo, detección y limpieza de amenazas en tiempo real para productos como Windows Defender, Microsoft Security Essentials y soluciones de terceros que integren el motor. El fallo se debe a un manejo incorrecto de enlaces simbólicos (symlinks) antes de acceder a archivos, permitiendo a un atacante con acceso local escalar privilegios a SYSTEM sin necesidad de autenticación adicional. Según el aviso de Microsoft [1], la explotación exitosa requiere que el atacante tenga acceso previo al sistema, pero no necesariamente privilegios administrativos.
- CVE-2026-45498: Impacta a la Plataforma Antimalware de Defender (versiones ≤ 4.18.26030.3011), que incluye herramientas como System Center Endpoint Protection y soluciones heredadas. Este fallo permite a un atacante provocar un DoS en dispositivos Windows sin parchear, interrumpiendo servicios críticos de seguridad. Microsoft no detalló el mecanismo exacto de explotación, pero advirtió que ya hay pruebas de explotación activa en la naturaleza.
Ambas vulnerabilidades fueron añadidas al Catalogo KEV (Known Exploited Vulnerabilities) de CISA [2], que obliga a agencias federales de EE.UU. a parchear sus sistemas en un plazo de 14 días (hasta el 3 de junio de 2026), según la Directiva Operativa Vinculante (BOD) 22-01. CISA destacó que estos fallos son un vector de ataque frecuente para actores maliciosos y representan un riesgo significativo para la infraestructura federal.
Impacto para DevOps, Infraestructura y Seguridad
Riesgos para equipos de operaciones (DevOps / SRE)
- Escalada de privilegios a SYSTEM: En entornos donde Microsoft Defender está desplegado (por ejemplo, instancias EC2 de AWS con Windows Server 2019/2022, o clusters EKS con nodos Windows), un atacante con acceso inicial limitado podría escalar a privilegios SYSTEM. Esto es crítico en pipelines de CI/CD donde las credenciales de servicio tienen permisos elevados.
- Interrupción de servicios: El DoS generado por CVE-2026-45498 podría afectar la disponibilidad de servicios en nodos críticos, especialmente en entornos híbridos o multi-cloud donde Defender se usa para escaneo de malware en repositorios de código o artefactos de despliegue.
Riesgos para equipos de seguridad
- Explotación activa: CISA confirmó que ambas vulnerabilidades están siendo explotadas en ataques reales, lo que aumenta la urgencia de parcheo. La explotación de CVE-2026-41091 podría usarse para moverse lateralmente en redes empresariales, mientras que CVE-2026-45498 podría usarse para saturar sistemas y ocultar otros ataques.
- Impacto en entornos cloud: En AWS, por ejemplo, los nodos Windows en EKS o EC2 con Defender habilitado podrían ser comprometidos. En Azure, las máquinas virtuales con Windows Defender for Endpoint podrían verse afectadas. Teams de seguridad deben priorizar la verificación de parches en:
– Clusters AKS/EKS con nodos Windows.
– Servicios de almacenamiento (S3, Blob Storage) escaneados por Defender.
Datos clave de impacto
| Vulnerabilidad | CVE | Componente afectado | Versión afectada | Impacto | CVSS (estimado) |
|---|---|---|---|---|---|
| Privilege Escalation | CVE-2026-41091 | Microsoft Malware Protection Engine | ≤ 1.1.26030.3008 | Escalada a SYSTEM | 8.8 (Alto) |
| Denial of Service | CVE-2026-45498 | Plataforma Antimalware de Defender | ≤ 4.18.26030.3011 | DoS en dispositivos Windows | 7.5 (Alto) |
Detalles técnicos
CVE-2026-41091: Improper Link Resolution Before File Access en Microsoft Malware Protection Engine
Versiones afectadas: Todas las versiones del motor ≤ 1.1.26030.3008, incluido en:- Windows Defender Antivirus (versiones para Windows 10/11, Windows Server 2019/2022).
- Microsoft Security Essentials.
- Soluciones de terceros que integren el motor (por ejemplo, algunos productos de ESET o Kaspersky que usan el motor de Microsoft).
- El atacante crea un enlace simbólico (symlink) que apunta a un archivo crítico del sistema (por ejemplo,
C:\Windows\System32\config\SAM). - Microsoft Malware Protection Engine intenta acceder al archivo antes de resolver el enlace, lo que permite al atacante redirigir la operación a un archivo controlado por él.
- Si el archivo redirigido tiene permisos elevados, el motor hereda esos permisos, permitiendo la escalada a SYSTEM.
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender\Signature Updates" | Select-Object EngineVersionSi el valor es ≤ 1.1.26030.3008, el sistema es vulnerable.
CVE-2026-45498: Denial of Service en Plataforma Antimalware de Defender
Versiones afectadas: Todas las versiones de la plataforma ≤ 4.18.26030.3011, que incluye:- System Center Endpoint Protection 2012 R2 y 2012.
- Microsoft Defender Antimalware Platform (usado en Windows 10/11 y Windows Server).
Microsoft no detalló el mecanismo exacto, pero el fallo permite a un atacante enviar una solicitud maliciosa que provoca un crash en el servicio MsMpEng.exe (Microsoft Malware Protection Engine), interrumpiendo las operaciones de escaneo y protección en tiempo real.
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" | Select-Object ProductVersionSi el valor es ≤ 4.18.26030.3011, el sistema es vulnerable.
Qué deberían hacer los administradores y equipos técnicos
Paso 1: Verificar que las actualizaciones automáticas estén habilitadas
En Windows 10/11 y Windows Server 2019/2022, las actualizaciones del Motor de Protección contra Malware y la Plataforma Antimalware se distribuyen automáticamente si el servicio de Windows Update está habilitado. Para verificar:
# Verificar configuración de actualizaciones automáticas
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" | Select-Object AUOptions, NoAutoUpdate, ScheduledInstallDay, ScheduledInstallTime- AUOptions = 4: Actualizaciones automáticas habilitadas (recomendado).
- NoAutoUpdate = 0: Actualizaciones automáticas habilitadas.
Si AUOptions no es 4, configurar manualmente:
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name AUOptions -Value 4Paso 2: Forzar la actualización del Motor y la Plataforma
Si las actualizaciones automáticas están habilitadas, los parches deberían aplicarse en ≤ 24 horas. Para forzar la actualización inmediata:
# Reiniciar el servicio de Windows Update
Restart-Service -Name wuauserv
# Forzar actualización del Motor de Protección contra Malware
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate -MMPCPara verificar que los parches se hayan aplicado correctamente:
# Verificar versión del Motor
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender\Signature Updates" | Select-Object EngineVersion
# Verificar versión de la Plataforma
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" | Select-Object ProductVersion- Motor: Debería mostrar ≥ 1.1.26040.8.
- Plataforma: Debería mostrar ≥ 4.18.26040.7.
Paso 3: Priorizar entornos críticos y sistemas expuestos
Equipos de DevOps y SRE:- En AWS EKS con nodos Windows, actualizar las AMI de los nodos a una versión con los parches aplicados. Usar:
aws ec2 describe-images --owners amazon --filters "Name=name,Values=Windows_Server-2022*" --query "Images[?contains(BlockDeviceMappings[].Ebs.SnapshotId, 'ami-')].[Name, ImageId]" --output table
Luego, actualizar las instancias con:
aws ec2 create-launch-template-version --launch-template-id lt-xxxxx --source-version 1 --launch-template-data file://patched-template.json
- En Azure, usar el comando:
Update-AzVm -ResourceGroupName "RG-DevOps" -Name "VM-NodeWindows" -Image "MicrosoftWindowsServer:WindowsServer:2022-Datacenter:latest"
- En entornos con Windows Defender for Endpoint, verificar que los parches se hayan aplicado en todos los dispositivos, especialmente en:
– Servidores de CI/CD (por ejemplo, Azure DevOps Agents en Windows).
– Sistemas de almacenamiento con escaneo de malware (Azure Blob Storage, AWS S3).
Paso 4: Monitorear y aislar sistemas no parcheables
Si algún sistema no puede actualizarse (por ejemplo, por dependencias de legacy), aplicar las siguientes mitigaciones:
- Deshabilitar el escaneo en tiempo real (solo como último recurso):
Set-MpPreference -DisableRealtimeMonitoring $true
- Aislar el sistema en una VLAN separada o grupo de seguridad en cloud.
- Implementar reglas de firewall para bloquear tráfico sospechoso hacia/desde el sistema.
Paso 5: Validar con herramientas de seguridad
- Microsoft Defender for Endpoint: Usar la consola de Microsoft 365 Defender para verificar que los dispositivos estén parcheados:
Get-MpThreatDetection | Where-Object { $_.InitialDetectionTime -gt (Get-Date).AddHours(-24) }
- CISA KEV Checker: Usar la herramienta KEV Checker para validar que los sistemas no figuren como vulnerables.
Conclusión
Las dos vulnerabilidades en Microsoft Defender son un recordatorio de que los componentes de seguridad críticos también pueden contener fallos explotables. Aunque Microsoft distribuye los parches automáticamente, la explotación activa obliga a los equipos de DevOps, infraestructura y seguridad a verificar manualmente que los sistemas estén protegidos, especialmente en entornos cloud y híbridos.
Para equipos de DevOps, la prioridad es actualizar las AMI/imágenes de nodos Windows en EKS, AKS o entornos on-premise. Para equipos de seguridad, el foco debe estar en validar que los parches se hayan aplicado en todos los dispositivos, incluyendo estaciones de trabajo, servidores de CI/CD y sistemas de almacenamiento. La recomendación final es no confiar en que las actualizaciones automáticas sean suficientes: forzar la actualización manualmente y monitorear los logs de Defender para detectar intentos de explotación.