Microsoft Defender sotto attacco: due falle zero-day già sfruttate in natura

Microsoft ha iniziato a distribuire patch di sicurezza per due vulnerabilità zero-day in Windows Defender che sono già state sfruttate in attacchi reali. La notizia, confermata da BleepingComputer, arriva in un momento in cui il software di protezione dell'azienda di Redmond si trova al centro di una serie di incidenti di sicurezza che mettono a rischio milioni di dispositivi Windows in tutto il mondo.

Chi

Microsoft è il produttore di Windows Defender, il software antimalware integrato in ogni copia di Windows 10 e Windows 11, installato su oltre un miliardo di dispositivi globali. Defender è anche il motore di protezione sottostante per System Center Endpoint Protection e Microsoft Security Essentials, utilizzati da organizzazioni di ogni dimensione.

Cosa è successo

Le due vulnerabilità scoperte sono:

CVE-2026-41091: una falla di privilege escalation nel Microsoft Malware Protection Engine versione 1.1.26030.3008 e precedenti. Sfrutta un difetto di "link following" (risoluzione impropria dei link prima dell'accesso ai file) che consente agli attaccanti di ottenere privilegi SYSTEM. Questo è il livello di accesso massimo su Windows, che permette il controllo completo del dispositivo.

CVE-2026-45498: una vulnerabilità nel Microsoft Defender Antimalware Platform versione 4.18.26030.3011 e precedenti che consente agli attaccanti di provocare uno stato di denial-of-service (DoS) sui dispositivi non aggiornati, essenzialmente bloccando il sistema.

Microsoft ha rilasciato le versioni corrette: Malware Protection Engine 1.1.26040.8 e Antimalware Platform 4.18.26040.7. L'azienda ha dichiarato che i clienti non dovrebbero dover intraprendere azioni manuali perché "la configurazione predefinita nel software antimalware Microsoft assicura che le definizioni di malware e la piattaforma Windows Defender Antimalware vengono mantenute aggiornate automaticamente".

Tuttavia, Microsoft consiglia agli utenti di verificare manualmente che gli aggiornamenti siano stati installati correttamente. Per farlo, è sufficiente aprire il programma Windows Security, navigare in "Virus & threat protection", selezionare "Protection Updates" e cliccare su "Check for updates".

Perché è importante

Queste vulnerabilità rappresentano un rischio particolarmente grave perché colpiscono il software di protezione stesso, trasformandolo potenzialmente in un vettore d'attacco. Una falla nel motore antimalware significa che gli attaccanti possono bypassare la difesa primaria dei sistemi Windows.

Il contesto rende la situazione ancora più critica. Nel corso del 2026, Microsoft ha dovuto affrontare una serie di zero-day in Defender e in altri prodotti. Ad aprile, un ricercatore ha pubblicato su GitHub un exploit funzionante denominato "BlueHammer" (CVE-2026-33825) che sfrutta il processo di aggiornamento di Defender stesso, combinando Volume Shadow Copy Service, Windows Cloud Files API e opportunistic locks per ottenere privilegi SYSTEM da un account non privilegiato. Quello stesso mese, un'altra falla (CVE-2026-33825) è stata divulgata pubblicamente insieme a un proof-of-concept funzionante, prima ancora che Microsoft rilasciasse una patch ufficiale.

A maggio, Microsoft ha dovuto gestire anche una vulnerabilità zero-day in Exchange Server (CVE-2026-42897) confermata come attivamente sfruttata in natura e inserita da CISA nel catalogo delle vulnerabilità note come già exploit.

Per gli utenti aziendali e i consumatori, il messaggio è chiaro: Defender, pur essendo uno strumento di protezione essenziale, non è immune da falle critiche. Le organizzazioni che si affidano esclusivamente a Defender come soluzione di sicurezza potrebbero trovarsi esposte durante il periodo tra la scoperta di una vulnerabilità e il rilascio della patch.

Cosa aspettarsi

Gli aggiornamenti dovrebbero distribuirsi automaticamente nei prossimi giorni su tutti i sistemi Windows configurati per ricevere aggiornamenti di sicurezza automatici. Gli utenti aziendali che gestiscono gli aggiornamenti manualmente dovranno verificare e distribuire le patch nei loro ambienti.

È probabile che Microsoft continui a rafforzare il processo di divulgazione coordinata delle vulnerabilità, specialmente dopo i casi di divulgazione pubblica non coordinata come BlueHammer. Nel frattempo, gli esperti di sicurezza consigliano di non affidarsi a un unico layer di protezione: l'uso di soluzioni antimalware di terze parti, firewall e monitoraggio del comportamento rimangono pratiche di sicurezza fondamentali.

La frequenza con cui emergono zero-day in Defender nel 2026 suggerisce che il software avrà bisogno di una revisione approfondita della sua architettura di sicurezza. Le organizzazioni dovrebbero monitorare gli annunci di Microsoft per eventuali aggiornamenti di sicurezza aggiuntivi e considerare di implementare strategie di difesa in profondità che non dipendono interamente da Defender.