Fuente de datos: Este análisis proviene del feed en tiempo real de CVE Sentry — plataforma de threat intelligence automatizada para entornos Microsoft Azure y M365.
Resumen ejecutivo
| Campo | Valor |
|---|---|
| CVE | CVE-2026-41091 |
| CVSS | 7.8 (HIGH) — AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Exploit | RedSun (familia BlueHammer) |
| Investigador | Chaos Eclipse |
| Parche | Microsoft Malware Protection Engine v1.1.26040.8 |
| Afecta también | System Center Endpoint Protection · Microsoft Security Essentials |
| CISA KEV | ✅ Confirmado — deadline 3 de junio de 2026 |
| Explotación | Activa en la wild |
¿Qué ocurrió?
El 20 de mayo de 2026, Microsoft liberó una actualización fuera de banda para el Malware Protection Engine de Microsoft Defender. La vulnerabilidad, identificada como CVE-2026-41091, es un zero-day de escalación de privilegios activamente explotado en ataques reales.
El fallo está en cómo el engine resuelve symlinks y directory junctions antes de realizar operaciones privilegiadas sobre archivos (cuarentena, eliminación, acceso). El investigador Chaos Eclipse había revelado públicamente la clase de vulnerabilidades BlueHammer aproximadamente un mes antes. La variante RedSun es la que explota específicamente este comportamiento de link-following.
CISA agregó CVE-2026-41091 al catálogo de Known Exploited Vulnerabilities y estableció el 3 de junio de 2026 como fecha límite obligatoria de remediación para agencias federales FCEB.
¿Cómo funciona el ataque?
El Malware Protection Engine corre como SYSTEM — el nivel de privilegio más alto en Windows. Cuando realiza operaciones sobre archivos durante un escaneo, sigue enlaces simbólicos sin verificar que el destino sea seguro.
Un atacante con acceso local estándar (sin privilegios de administrador) puede:
- Identificar rutas predecibles que el engine accederá durante un escaneo
- Crear un symlink o directory junction malicioso en esa ruta
- Esperar a que el engine siga el enlace como SYSTEM
- Redirigir la operación privilegiada a un archivo objetivo del atacante
El resultado: escritura, modificación o ejecución de archivos como SYSTEM sin ninguna interacción del usuario ni privilegios previos de administrador.
MITRE ATT&CK
| Técnica | Nombre | Táctica |
|---|---|---|
| T1548 | Abuse Elevation Control Mechanism | Privilege Escalation |
| T1574 | Hijack Execution Flow | Defense Evasion / Persistence |
| T1068 | Exploitation for Privilege Escalation | Privilege Escalation |
| T1055 | Process Injection (post-escalación) | Defense Evasion |
| T1003.001 | LSASS Memory Dump (post-SYSTEM) | Credential Access |
KQL — Hunting en Microsoft Defender XDR
Detección de procesos hijo anómalos de MsMpEng.exe
| |
Creación de symlinks en directorios de usuario temporales
| |
Detección en Microsoft Sentinel
| |
Playbook SOC
1. Verificación del parche (< 1 hora)
2. Forzar actualización si está desactualizado
3. Verificación masiva via Intune/MDE
En Microsoft Defender for Endpoint Portal:
Device Inventory→ filtrar porSensor health: Needs attention- Ejecutar Live Response:
run Get-MpComputerStatus - Exportar reporte de versiones del engine
4. Habilitación de Tamper Protection
5. Hunting activo
Ejecutar las KQL queries del apartado anterior en:
- Microsoft Defender XDR → Advanced Hunting
- Microsoft Sentinel → Logs
Remediación
| Prioridad | Acción | Plazo |
|---|---|---|
| 🔴 CRÍTICA | Verificar AMEngineVersion ≥ 1.1.26040.8 en todos los endpoints | Inmediato |
| 🔴 CRÍTICA | Forzar update en sistemas con Windows Update restringido | 48 horas |
| 🟠 ALTA | Habilitar Tamper Protection enterprise-wide | 48 horas |
| 🟡 MEDIA | Ejecutar hunting KQL para detectar actividad RedSun | Esta semana |
| 🟡 MEDIA | Restringir permisos de escritura en directorios escaneables por Defender | Esta semana |