Fuente de datos: Este análisis proviene del feed en tiempo real de CVE Sentry — plataforma de threat intelligence automatizada para entornos Microsoft Azure y M365.
Resumen ejecutivo
| Campo | Valor |
|---|---|
| CVE | CVE-2026-45498 |
| CVSS | 4.0 (MEDIUM) — AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| CWE | CWE-400 — Uncontrolled Resource Consumption |
| Exploit | UnDefend (familia BlueHammer) |
| Investigador | Chaos Eclipse |
| Parche | Microsoft Defender Antimalware Platform v4.18.26040.7 |
| Afecta también | System Center Endpoint Protection · Microsoft Security Essentials |
| CISA KEV | ✅ Confirmado — deadline 3 de junio de 2026 |
| Explotación | Activa en la wild |
El problema con el CVSS score
CVSS 4.0 — MEDIUM. En papel, parece menor. En la práctica, es una de las piezas más importantes del kill chain BlueHammer.
CISA no agrega vulnerabilidades al KEV por su CVSS. Las agrega porque están siendo explotadas activamente y porque tienen impacto operacional real. CVE-2026-45498 cumple ambos criterios.
¿Qué ocurrió?
El 20 de mayo de 2026, Microsoft liberó una actualización fuera de banda para Microsoft Defender que incluye el fix para CVE-2026-45498. Esta vulnerabilidad explota un consumo no controlado de recursos (CWE-400) en la plataforma antimalware, causando que Defender crashee y deje de proteger el endpoint.
La herramienta UnDefend, parte de la familia de exploits BlueHammer publicada por Chaos Eclipse, automatiza la explotación. No requiere autenticación — cualquier proceso en ejecución en el sistema puede dispararlo.
La cadena BlueHammer
Ninguno de los dos CVEs activos opera en aislamiento. El patrón observado en ataques reales:
| |
El atacante no necesita vencer a tu antivirus. Solo necesita apagarlo.
¿Cómo funciona UnDefend?
El exploit dispara una condición de agotamiento de recursos en el Defender Antimalware Platform (el componente MsMpEng.exe). Al crashear, el servicio se detiene y la protección en tiempo real queda desactivada.
Windows puede mostrar la notificación “Defender está desactivado”, pero en ese punto no hay AV activo que detecte la actividad posterior. El servicio puede reiniciarse automáticamente después, pero la ventana sin protección fue suficiente.
MITRE ATT&CK
| Técnica | Nombre | Táctica |
|---|---|---|
| T1562.001 | Disable or Modify Tools | Defense Evasion |
| T1499.004 | Application or System Exploitation | Impact |
| T1036 | Masquerading (post-evasion) | Defense Evasion |
| T1059 | Command and Scripting Interpreter (payload) | Execution |
Señales de detección
Event IDs críticos a monitorear
| Event ID | Fuente | Significado |
|---|---|---|
| 5001 | Windows Defender | Real-Time Protection desactivada |
| 5004 | Windows Defender | Real-Time Protection configuration changed |
| 7036 | System | Windows Defender service stopped |
| 7034 | System | Service crashed unexpectedly |
KQL — Hunting en Microsoft Defender XDR
Detección de Defender detenido inesperadamente
Gaps en telemetría de Defender (ventana sin protección)
| |
Detección de payload post-UnDefend
| |
Hunting en Microsoft Sentinel
| |
Mitigación adicional: Tamper Protection
Más allá del parche, la Tamper Protection de Defender mitiga activamente UnDefend — bloquea intentos de modificar o detener el servicio por procesos no autorizados, incluso en sistemas sin parchear.
Si Tamper Protection está habilitada, el endpoint resistirá UnDefend aunque no esté en v4.18.26040.7 — úsalo como control compensatorio inmediato mientras despliegas el parche.
Playbook SOC
1. Verificación del parche
2. Forzar actualización
3. Verificación masiva enterprise
4. Alerta SIEM
Crear regla de alerta en Microsoft Sentinel:
- Trigger: Event ID 7036 donde ServiceName = “WinDefend” y State = “stopped”
- Severidad: Alta
- Playbook: Notificar SOC + iniciar investigación de endpoint
Remediación
| Prioridad | Acción | Plazo |
|---|---|---|
| 🔴 CRÍTICA | Verificar AMProductVersion ≥ 4.18.26040.7 en todos los endpoints | Inmediato |
| 🔴 CRÍTICA | Habilitar Tamper Protection como control compensatorio | Inmediato |
| 🟠 ALTA | Forzar update en sistemas con Windows Update restringido | 48 horas |
| 🟠 ALTA | Crear alertas SIEM para Event ID 5001 y 7036 | 48 horas |
| 🟡 MEDIA | Hunting de gaps en telemetría de Defender | Esta semana |
| 🟡 MEDIA | Validar que ningún endpoint dependa solo de Defender (sin EDR secundario) | Esta semana |