Microsoft ha confermato il 22 maggio 2026 due vulnerabilità zero-day in Microsoft Defender, già usate in attacchi reali secondo la CISA, e ha rilasciato gli aggiornamenti di sicurezza per ridurre il rischio sui sistemi Windows esposti.
Il caso tocca il motore di protezione antimalware e la piattaforma Defender, due componenti che lavorano ogni giorno, spesso senza farsi notare, su milioni di computer aziendali e domestici. Il consiglio, questa volta, è molto concreto: controllare subito che l’aggiornamento sia stato installato.
Defender sotto attacco: le due falle zero-day tra privilegi elevati e blocco del servizio
Le vulnerabilità corrette da Microsoft sono due: CVE-2026-41091 e CVE-2026-45498. La prima riguarda il Microsoft Malware Protection Engine nella versione 1.1.26030.3008 e precedenti. Secondo l’avviso dell’azienda, può permettere a un attaccante di ottenere una escalation locale dei privilegi: in pratica, aumentare il proprio livello di accesso dopo essere già entrato nel sistema.
Il punteggio di gravità è 7,8 su 10, quindi alto. La seconda falla, CVE-2026-45498, interessa invece la Microsoft Defender Antimalware Platform nelle versioni 4.18.26030.3011 e precedenti. Qui il rischio è un denial of service, con punteggio 7,5 su 10: un attacco riuscito può mettere fuori uso il servizio di protezione e aprire una finestra utile ad altre attività malevole. Non è un’ipotesi da laboratorio. La conferma degli abusi in corso, arrivata dalle autorità statunitensi, rende l’avviso molto più serio.
Aggiornamenti già disponibili: quali versioni controllare su Windows
Per chi usa Microsoft Defender con le impostazioni predefinite, gli aggiornamenti dovrebbero essere arrivati in automatico. Microsoft indica come versioni corrette Malware Protection Engine 1.1.26040.8 e Antimalware Platform 4.18.26040.7, rilasciate per chiudere le due falle. In teoria, spiega la società nel proprio bollettino di sicurezza, l’utente non deve fare nulla.
Meglio però non fidarsi alla cieca. Soprattutto nelle aziende, dove regole interne, proxy, endpoint isolati o strumenti di gestione centralizzata possono rallentare gli update. Il controllo si fa da Sicurezza di Windows: bisogna entrare in Protezione da virus e minacce, poi in Aggiornamenti della protezione e scegliere Verifica disponibilità aggiornamenti. Il numero di versione del client antimalware deve risultare allineato ai valori indicati da Microsoft. È un controllo rapido, questione di pochi minuti, ma può evitare problemi ben più pesanti.
CISA alza il livello: exploit attivi e obbligo di intervento entro il 3 giugno
A dare più peso all’allarme è stata la Cybersecurity and Infrastructure Security Agency, l’agenzia statunitense per la sicurezza informatica, che ha inserito entrambe le vulnerabilità nel catalogo Known Exploited Vulnerabilities, il KEV. È l’elenco con cui la CISA segnala le falle già sfruttate “in the wild”, cioè in attacchi reali e non solo nei test dei ricercatori. Per le agenzie federali civili degli Stati Uniti la scadenza è fissata al 3 giugno 2026: entro quella data dovranno applicare le misure indicate dal fornitore o smettere di usare il software vulnerabile, come previsto dalla direttiva BOD 22-01.
“Questo tipo di vulnerabilità è un vettore di attacco frequente per gli attori cyber malevoli e comporta rischi significativi per l’infrastruttura federale”, ha spiegato la CISA nel proprio avviso. Il messaggio, però, non riguarda solo Washington. Anche aziende, studi professionali e utenti privati che usano Defender antivirus farebbero bene a verificare gli aggiornamenti. Le falle zero-day, una volta rese pubbliche, circolano in fretta tra gruppi criminali e broker di exploit. E quando il bersaglio è un componente di sicurezza installato di default, rimandare diventa un rischio.
