Microsoft libera atualizações urgentes para falhas no Defender hoje

A Microsoft liberou nesta semana correções emergenciais para duas falhas de segurança no Microsoft Defender que, segundo a própria empresa, já estavam sendo exploradas em ataques reais. As vulnerabilidades afetam componentes centrais do antivírus no Windows e exigem atualização imediata em ambientes corporativos.

Os problemas foram catalogados como CVE-2026-41091 (elevação de privilégio) e CVE-2026-45498 (negação de serviço). Em termos práticos, uma delas pode ajudar um invasor a chegar a privilégios de SYSTEM, e a outra pode derrubar a proteção antimalware.

A correção está sendo distribuída por atualização do próprio Defender, mas administradores têm sido orientados a checar manualmente as versões instaladas, especialmente em frotas grandes e com políticas rígidas de update.

O que este artigo aborda:

• O que muda com as falhas CVE-2026-41091 e CVE-2026-45498
• Como a Microsoft afirma ter contido outro vetor: derrubada do “Fox Tempest”
• O que empresas e usuários devem verificar agora
• Por que esse episódio chama atenção em 2026

O que muda com as falhas CVE-2026-41091 e CVE-2026-45498

A CVE-2026-41091 é descrita como uma falha de elevação de privilégio local. Em cenários de intrusão, isso costuma ser o “segundo passo” do atacante após obter um ponto de apoio inicial na máquina.

Já a CVE-2026-45498 pode ser explorada para provocar um estado de negação de serviço, interferindo no funcionamento do Defender. O impacto é abrir uma janela em que o endpoint fica menos protegido.

Relatos técnicos apontam que a falha de privilégio envolve “link following”, quando o mecanismo resolve links de forma inadequada antes de acessar arquivos. Esse tipo de bug pode ser abusado para redirecionar operações do sistema. ()

As correções foram disponibilizadas em versões mais novas do mecanismo e da plataforma antimalware, incluindo o Malware Protection Engine 1.1.26040.8 e a Antimalware Platform 4.18.26040.7, conforme a cobertura especializada. ()

Como a Microsoft afirma ter contido outro vetor: derrubada do “Fox Tempest”

Em paralelo às correções do Defender, a Microsoft também anunciou uma ação de disrupção contra um serviço associado ao ecossistema de ransomware: o Fox Tempest, descrito como “malware-signing-as-a-service”. ()

De acordo com a empresa, o serviço ajudava criminosos a fazer malware parecer legítimo ao abusar de fluxos de assinatura, o que aumenta as chances de execução e reduz alertas de desconfiança por parte do usuário.

A companhia diz ter tirado do ar infraestrutura usada pela operação e revogado certificados associados ao esquema. Também afirma que a medida mirou um “habilitador” do crime digital, e não apenas um grupo específico. ()

O recado é claro: o foco atual está em travar etapas “invisíveis” da cadeia do cibercrime, como assinatura, distribuição e serviços pagos que reduzem atrito para atacantes.

O que empresas e usuários devem verificar agora

Para times de TI, o risco maior é imaginar que “o Windows atualiza sozinho”. Em ambientes gerenciados, é comum haver endpoints que ficam semanas sem receber atualização de mecanismo por políticas, rede, proxy ou falhas de serviço.

O primeiro passo é confirmar se o Defender realmente recebeu a versão corrigida do mecanismo e da plataforma. A checagem deve entrar em rotina de conformidade, especialmente para notebooks fora da rede.

• Validar versões do mecanismo e da plataforma do Microsoft Defender em uma amostra e depois em toda a frota.
• Forçar atualização do Defender quando houver endpoints atrasados, inclusive fora do ciclo de Windows Update.
• Priorizar máquinas com usuários locais e acesso a dados sensíveis, pois elevação de privilégio costuma ser usada para persistência.
• Revisar telemetria e alertas buscando anomalias de serviço (paradas recorrentes, falhas de atualização e reinícios).

Para usuários finais, a orientação prática é abrir o app de Segurança do Windows e verificar se há atualizações de proteção pendentes. Em caso de equipamento corporativo, o ideal é acionar o suporte interno.

Por que esse episódio chama atenção em 2026

O ponto mais sensível é a combinação de dois efeitos: falhas exploradas no Defender e, ao mesmo tempo, a evolução do mercado clandestino de serviços que “profissionalizam” ataques, como plataformas de phishing e kits prontos.

Nesta semana, por exemplo, o FBI alertou para o Kali365, um modelo de “phishing-as-a-service” que busca capturar tokens de acesso do Microsoft 365 e contornar MFA em alguns cenários, aumentando o risco de sequestro de sessão. ()

Em outras palavras, o jogo é de escala: falhas em proteção de endpoint, somadas a serviços que facilitam intrusão e roubo de acesso, encurtam o tempo entre “primeiro clique” e impacto real no ambiente.

1. Atacante obtém acesso inicial (phishing, credenciais vazadas, token).
2. Explora elevação de privilégio para ganhar controle total no endpoint.
3. Desativa/atrapalha proteção para ampliar persistência.
4. Move-se lateralmente, exfiltra dados e pode acionar ransomware.

Para organizações brasileiras com operações híbridas (Microsoft 365 + Windows gerenciado), a prioridade imediata é manter o Defender com mecanismo e plataforma atualizados, e reforçar detecção de abuso de tokens e sessões.

Até aqui, a Microsoft não detalhou publicamente o volume de vítimas nem os grupos por trás da exploração das duas falhas no Defender. Mas o fato de haver exploração ativa eleva o nível de urgência e reduz margem para esperar o próximo ciclo mensal.

Em meio à corrida por produtividade com IA e automação, o recado técnico é antigo, mas continua atual: patching rápido em componentes de segurança deixou de ser “boa prática” e virou requisito de sobrevivência operacional.

Segundo a própria Microsoft, a empresa também segue atualizando continuamente sua inteligência antimalware e registrando novas detecções em ciclos frequentes. Um exemplo é o registro de versões liberadas em 22/05/2026 no changelog de definições. ()

Links externos usados (3 no total, distribuídos no texto): Microsoft (ação contra Fox Tempest), FBI/IC3 (alerta Kali365) e Microsoft Security Intelligence (changelog).