Due falle di sicurezza in Microsoft Defender: a rischio milioni di PC Windows

Una componente software installata di default su milioni di sistemi Windows è finita al centro di una nuova ondata di attacchi mirati. Microsoft ha distribuito aggiornamenti di emergenza per due vulnerabilità gravi che colpiscono direttamente Microsoft Defender, il motore antimalware integrato nel sistema operativo dell’azienda di Redmond e utilizzato anche in diversi prodotti enterprise legacy ancora presenti in molte infrastrutture aziendali.

La vicenda assume un peso particolare perché i bug risultano già sfruttati in scenari reali. CISA, l’agenzia statunitense per la cybersicurezza federale, ha infatti inserito entrambe le falle nel catalogo KEV – Known Exploited Vulnerabilities – imponendo alle agenzie governative americane di correggere i sistemi entro il 3 giugno 2026. Quando una CVE entra nel KEV, il messaggio è chiaro: gli exploit esistono, circolano e qualcuno li sta già utilizzando attivamente per causare danni, bloccare i sistemi, diffondere codice malevolo e sottrarre dati riservati.

Il dato interessante riguarda soprattutto la natura delle vulnerabilità. Non si parla di browser, servizi esposti su Internet o applicazioni di terze parti, ma del software che dovrebbe proteggere il sistema operativo: l’antivirus stesso diventa superficie d’attacco. Già ad aprile scorso erano emerse altre debolezze gravi di Defender, tra cui CVE-2026-33825 soprannominata “BlueHammer”, sfruttata per ottenere privilegi SYSTEM.

La vulnerabilità CVE-2026-41091 permette l’acquisizione dei privilegi SYSTEM

La prima falla corretta da Microsoft è tracciata come CVE-2026-41091 e interessa il Microsoft Malware Protection Engine fino alla versione 1.1.26030.3008 compresa. Si tratta del componente responsabile delle attività di scansione, rilevamento e rimozione malware nei prodotti Microsoft Defender.

Microsoft descrive il problema come un difetto di “improper link resolution before file access“, cioè una gestione errata dei collegamenti durante l’accesso ai file. In termini pratici, il motore antimalware può seguire link simbolici o riferimenti manipolati in modo non sicuro prima di effettuare operazioni a livello di filesystem con privilegi elevatissimi.

Se un attaccante riesce a influenzare il percorso dei file analizzati o “bonificati” dal motore antimalware, può indurre il servizio a compiere operazioni arbitrarie usando i privilegi legati all’account SYSTEM. Si tratta di uno schema piuttosto noto nelle escalation locali su Windows: il software di sicurezza lavora con privilegi elevati e l’attaccante sfrutta race condition, symlink o hard link per reindirizzare le operazioni verso file arbitrari.

L’aggressore, in questi casi, deve comunque già possedere un accesso iniziale alla macchina, magari ottenuto tramite phishing, malware o credenziali sottratte. Da lì può usare la falla per trasformare privilegi limitati in un pieno controllo del sistema.

I gruppi ransomware raramente si affidano a un singolo exploit: concatenano invece più tecniche. Prima ottengono accesso iniziale, poi cercano escalation locale, disattivazione delle difese e movimento laterale.

La CVE-2026-45498 colpisce la piattaforma antimalware

La seconda vulnerabilità, identificata come CVE-2026-45498, interessa la Microsoft Defender Antimalware Platform fino alla release 4.18.26030.3011. Microsoft parla di una condizione di denial of service (DoS) che può portare i sistemi Windows non aggiornati in uno stato instabile.

Il bug non riguarda soltanto Defender integrato in Windows 10 e Windows 11: la falla di sicurezza interessa anche prodotti storici ancora diffusi in ambienti enterprise e industriali, compresi System Center Endpoint Protection, System Center 2012 Endpoint Protection, System Center 2012 R2 Endpoint Protection e perfino Security Essentials.

Un denial of service sul layer antimalware può produrre conseguenze molto diverse: crash del servizio di protezione, blocco delle scansioni, consumo anomalo di risorse oppure interruzione dei meccanismi di aggiornamento delle firme virali. In alcune situazioni il risultato finale equivale a una temporanea neutralizzazione della protezione.

Microsoft distribuisce nuove versioni del motore Defender

Le correzioni arrivano tramite aggiornamento automatico delle componenti antimalware: Microsoft ha rilasciato il Malware Protection Engine versione 1.1.26040.8 e la Defender Antimalware Platform 4.18.26040.7.

A differenza delle patch tradizionali di Windows, il motore Defender si aggiorna indipendentemente dal ciclo mensile Patch Tuesday: Redmond può distribuire correzioni urgenti direttamente attraverso Windows Update e il sistema di aggiornamento delle definizioni malware.

Secondo l’azienda, nella configurazione predefinita gli utenti non dovrebbero eseguire operazioni manuali perché Defender aggiorna automaticamente piattaforma, motore e signature. La realtà operativa però è più complessa. In molte aziende gli aggiornamenti vengono ritardati deliberatamente, soprattutto su server legacy, ambienti OT o infrastrutture con policy WSUS restrittive.

Per questo motivo Microsoft raccomanda comunque di verificare manualmente la versione installata attraverso la sezione Sicurezza di Windows del sistema operativo (cliccare su Impostazioni, Informazioni su nella finestra Sicurezza di Windows).

È anche possibile recuperare lo stato di entrambi i motori antimalware aprendo una finestra PowerShell quindi digitando quanto segue:

Get-MpComputerStatus | Select-Object AMProductVersion, AMEngineVersion

Perché gli attaccanti prendono di mira Defender

Colpire Defender offre vantaggi enormi agli operatori ransomware e ai gruppi APT: il software gira con privilegi elevati, accede costantemente al filesystem e interagisce con processi critici del sistema operativo. Qualunque difetto nella gestione dei file, nella validazione dei percorsi o nei controlli di accesso può trasformarsi in un vettore privilegiato.

Inoltre Defender è presente praticamente ovunque. Un exploit affidabile contro il motore antimalware garantisce compatibilità immediata con una quantità enorme di endpoint Windows, senza necessità di installare software aggiuntivo.