Microsoft Defender CVE-2026-41091: privilege escalation via link following, sfruttata attivamente prima del Patch Tuesday

La CVE-2026-41091 (CVSS 7.8) è una vulnerabilità di tipo "Improper Link Resolution Before File Access" (CWE-59, link following) nel componente Microsoft Malware Protection Engine di Microsoft Defender. Il motore di protezione, durante le operazioni di scansione o rimediazione, segue un symlink controllato dall'attaccante verso un percorso privilegiato prima di completare la validazione del target, consentendo a un attaccante locale autenticato di scrivere o sostituire file in posizioni normalmente inaccessibili e ottenere l'esecuzione di codice con privilegi SYSTEM.

La seconda CVE, CVE-2026-45498 (CVSS 4.0), è un Denial of Service nella Defender Antimalware Platform che può causare l'interruzione del servizio di protezione. Come riportato da The Hacker News e Help Net Security, Microsoft ha confermato lo sfruttamento attivo di entrambe le CVE prima della divulgazione pubblica, rilasciando aggiornamenti fuori ciclo il 21 maggio 2026. La CISA ha aggiunto entrambe al catalogo KEV lo stesso giorno con scadenza al 3 giugno per le agenzie federali. Nell'arco di una settimana è la terza vulnerabilità Microsoft sfruttata in the wild, dopo CVE-2026-42897 su Exchange Server.

Versioni affette:
Microsoft Malware Protection Engine < 1.1.26040.8; Defender Antimalware Platform < 4.18.26040.7.Azione raccomandata: gli aggiornamenti di Microsoft Defender vengono distribuiti automaticamente tramite Windows Update e le definizioni automatiche; verificare che l'aggiornamento automatico sia attivo e che i sistemi isolati (air-gapped) ricevano la versione corretta manualmente.

Fonti: ACN, Help Net Security, The Hacker News