Venerdi 26 Giugno 2026 19:05:26 GMT+02:00

Netcrook

HomeManifesto
News
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookTeamAppContatti
ItalianoEnglishArabic
Vulnerabilità e gestione delle patch

La guardia di Microsoft Defender cede sotto pressione

21 Maggio 2026 17:02Vulnerabilità e gestione delle patchNord America / USADEEPAUDIT

Due zero-day attivamente sfruttati in Defender trasformano la protezione degli endpoint in una superficie d'attacco, mostrando perché gli strumenti di sicurezza devono essere patchati con la stessa aggressività dei sistemi che proteggono.

Quando gli attaccanti trovano una falla nel software di protezione degli endpoint, il problema non è più solo un file malevolo o un processo rogue. Diventa una questione di fiducia. Microsoft ha reso note due vulnerabilità zero-day in Microsoft Defender, e il loro peso in termini di sicurezza è difficile da ignorare: una è un percorso di escalation dei privilegi locali, l'altra è un problema di denial of service nella piattaforma antimalware. Questa combinazione può trasformare un endpoint Windows da “protetto” a “parzialmente cieco” o “localmente sovrapotenziato” se si verificano le condizioni sbagliate.

Fatti rapidi

  • CVE-2026-41091 è una falla di Defender legata alla risoluzione impropria dei collegamenti prima dell'accesso ai file.
  • CVE-2026-45498 interessa la piattaforma antimalware di Defender e può causare denial of service.
  • Entrambi i problemi sono stati divulgati come zero-day e descritti come attivamente sfruttati nel mondo reale.
  • Il contesto tecnico colloca i problemi nello stack di protezione centrale di Microsoft Defender, non in una funzionalità periferica.
  • Contano i controlli di versione: la correzione dipende dal motore e dalla build della piattaforma di Defender, non solo dalla versione di Windows.

Perché questo conta all'interno del livello di protezione

CVE-2026-41091 è la più pericolosa delle due dal punto di vista di un attaccante. La classe di debolezza è comunemente associata agli errori di follow dei link: il software risolve un percorso, un collegamento o un link in modo errato. In termini pratici, ciò può consentire a un attaccante locale autorizzato di indirizzare Defender verso il target di file sbagliato e potenzialmente oltrepassare un confine di privilegi. Non è il tipo di bug che i difensori amano trovare in un software che dovrebbe gestire scansioni affidabili e operazioni sui file.

CVE-2026-45498 è diversa ma comunque importante. Una condizione di denial of service in una piattaforma antimalware non ha bisogno di portare all'esecuzione di codice per essere rilevante. Se il livello di protezione diventa instabile o smette di funzionare normalmente, i difensori possono perdere temporaneamente la visibilità di scansione o monitoraggio. Questo può creare una finestra stretta ma utile per attività successive, soprattutto sugli endpoint già sotto pressione.

La lezione più ampia è che gli strumenti di sicurezza sono obiettivi di alto valore perché si trovano vicino al file system, ispezionano contenuti non fidati e spesso operano con ampia fiducia. Quando questi componenti falliscono, l'impatto non è solo un'applicazione che si blocca; può diventare una lacuna nel rilevamento, nel contenimento o nel controllo locale.

Indicazione operativa per i difensori

La risposta più sicura è una verifica specifica del componente. La piattaforma antimalware e il motore di protezione malware di Defender andrebbero controllati direttamente, poiché un componente potrebbe essere corretto mentre un altro resta indietro. Negli ambienti con canali di aggiornamento personalizzati o controlli endpoint a più livelli, i numeri di versione sono più affidabili delle supposizioni basate solo sulla build di Windows.

Al momento della stesura, le informazioni pubbliche non hanno ancora stabilito in modo completo il percorso di exploit, l'esatta portata dei sistemi interessati o se i sistemi a valle siano stati coinvolti. Le prove disponibili supportano un'analisi del rischio, non un'affermazione generalizzata di compromissione universale. Resta comunque un chiaro messaggio operativo: il software di sicurezza merita una priorità di patching perché può diventare sia un punto d'appoggio sia un punto cieco.

Conclusione

Questi due zero-day di Defender ricordano che la parte più sensibile di uno stack aziendale è spesso quella di cui ci si fida di più. Gli attaccanti non devono sempre sfondare lo scudo; a volte basta incrinarlo. Per i difensori, ciò significa che il livello di protezione deve essere monitorato, patchato e validato con la stessa urgenza riservata ai server esposti e alle applicazioni raggiungibili da Internet.

TECHCROOK

Chiave di sicurezza hardware: Una chiave fisica FIDO2 aggiunge l'autenticazione multifattore resistente al phishing per gli account importanti. È un dispositivo semplice e ampiamente disponibile che può ridurre la dipendenza dalle sole password quando la sicurezza dell'endpoint è sotto revisione. Tienine una come backup per l'account amministratore, la posta elettronica e altri accessi critici.

Scheda Techcrook: Chiave di sicurezza hardware

WIKICROOK

  • Zero-day: Una vulnerabilità sfruttata prima che sia disponibile una correzione.
  • Escalation dei privilegi: Ottenere permessi superiori a quelli che un utente dovrebbe avere.
  • Denial of service: Interrompere un sistema in modo che non possa operare normalmente.
  • CWE-59: Una debolezza che coinvolge la risoluzione impropria dei collegamenti prima dell'accesso ai file.
  • Vulnerabilità note sfruttate: Un elenco di priorità per le falle già abusate nel mondo reale.
DEEPAUDIT
AutoreDEEPAUDIT

Vulnerabilità e gestione delle patch