.png){kind=small}
|
⚙️ Análisis técnico: Naturaleza de las vulnerabilidades
Estas vulnerabilidades permiten a actores maliciosos comprometer la capa de seguridad principal del sistema operativo mediante vectores de ataque diferenciados.
CVE-2026-41091 (CVSS 7.8): Clasificada como una vulnerabilidad de elevación de privilegios. Permite a un atacante con acceso limitado escalar sus permisos hasta obtener privilegios de sistema (
SYSTEM), facilitando el control total sobre la máquina afectada.CVE-2026-45498 (CVSS 4.0): Identificada como una vulnerabilidad de denegación de servicio (DoS). Su ejecución permite inhabilitar los servicios de Microsoft Defender, dejando al sistema desprotegido frente a otros vectores de ataque secundarios.
🛡️ Vectores de ataque y exploits: RedSun y UnDefend
El análisis de la infraestructura de amenazas ha identificado dos herramientas de explotación principales asociadas a estos fallos: RedSun y UnDefend.
| Vector de Explotación | Función Técnica | Impacto en el Sistema |
| RedSun | Ejecución de privilegios escalados | Acceso a nivel de kernel/SYSTEM |
| UnDefend | Inyección de interrupción de servicio | Desactivación forzada de Defender |
Estos exploits actúan de forma encadenada: el atacante inyecta el código para la denegación de servicio, neutralizando la protección en tiempo real, para luego proceder con la escalada de privilegios mediante RedSun. Esta secuencia permite la persistencia en el sistema sin levantar alertas inmediatas de detección.
📈 Evaluación de exposición: ¿Cómo saber si está en riesgo?
La exposición depende estrictamente del estado del motor de protección. Los sistemas son vulnerables si no han recibido las definiciones más recientes o si presentan comportamientos erráticos.
Verificación de versión: Acceda a la configuración de seguridad y verifique que la versión del motor sea 4.18.26040.7 o superior.
Indicadores de compromiso (IoC):
Servicios de Microsoft Defender que aparecen desactivados sin intervención del usuario.
Errores recurrentes de actualización en
Windows Update Comportamiento inusual en procesos de sistema o intentos de ejecución de binarios desconocidos.
🛠️ Protocolo de mitigación y hardening
La actualización a la versión 4.18.26040.7 es la única medida correctiva definitiva ante esta campaña de explotación activa.
Actualización de Motor: Asegúrese de forzar la sincronización con los servidores de actualización de
Microsoft Security Intelligence Automatización: Mantenga activada la opción de
Windows Update Automático Gestión de privilegios: Implemente el principio de menor privilegio; audite periódicamente qué cuentas poseen permisos de administrador y exija
MFA (Autenticación Multifactor)
La inmediatez en el parcheo es crítica. Para entornos empresariales, se recomienda realizar un escaneo de logs de eventos en busca de intentos de desactivación de servicios de seguridad y aplicar políticas de acceso restringido a los ejecutables de Defender hasta completar la actualización en todo el parque informático.
🔍 Preguntas Frecuentes (FAQ)
Estas vulnerabilidades comprometen la integridad de Microsoft Defender. La CVE-2026-41091 (CVSS 7.8) permite a un atacante escalar privilegios hasta obtener control total como SYSTEM, mientras que la CVE-2026-45498 (CVSS 4.0) es una vulnerabilidad de denegación de servicio que permite inhabilitar los servicios de protección, dejando al equipo expuesto a ataques adicionales.
Los atacantes suelen encadenar estos exploits: primero utilizan UnDefend para inyectar una interrupción que desactiva la protección en tiempo real de Microsoft Defender. Una vez neutralizada la defensa, ejecutan el exploit RedSun para escalar privilegios, permitiendo al atacante obtener persistencia en el sistema sin activar las alertas de detección habituales.
Debe verificar la versión de su motor de protección en la configuración de seguridad de Windows. Los sistemas que utilicen una versión anterior a la 4.18.26040.7 son considerados vulnerables. Otros indicadores de compromiso incluyen servicios de Defender desactivados sin causa aparente, errores recurrentes en Windows Update o comportamientos inusuales de procesos en segundo plano.
La medida principal es actualizar el motor a la versión 4.18.26040.7 o superior forzando la sincronización con Microsoft Security Intelligence. Además, se debe implementar el principio de menor privilegio, auditar cuentas con permisos administrativos y exigir Autenticación Multifactor (MFA). En entornos empresariales, es necesario revisar los logs de eventos para detectar intentos de desactivación de servicios de seguridad.
La CISA ha integrado estos fallos en su catálogo de vulnerabilidades explotadas conocidas (KEV) debido a la confirmación de su explotación activa en el campo. El riesgo es inminente tanto para infraestructuras corporativas como para usuarios domésticos, ya que los atacantes están aprovechando activamente estos vectores para evadir las capas de seguridad estándar de los sistemas Windows 10 y 11.
