Fuente de datos: Este análisis proviene del feed en tiempo real de CVE Sentry — plataforma de threat intelligence automatizada para entornos Microsoft Azure y M365.


Resumen ejecutivo

CampoValor
CVECVE-2026-45498
CVSS4.0 (MEDIUM) — AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
CWECWE-400 — Uncontrolled Resource Consumption
ExploitUnDefend (familia BlueHammer)
InvestigadorChaos Eclipse
ParcheMicrosoft Defender Antimalware Platform v4.18.26040.7
Afecta tambiénSystem Center Endpoint Protection · Microsoft Security Essentials
CISA KEV✅ Confirmado — deadline 3 de junio de 2026
ExplotaciónActiva en la wild

El problema con el CVSS score

CVSS 4.0 — MEDIUM. En papel, parece menor. En la práctica, es una de las piezas más importantes del kill chain BlueHammer.

CISA no agrega vulnerabilidades al KEV por su CVSS. Las agrega porque están siendo explotadas activamente y porque tienen impacto operacional real. CVE-2026-45498 cumple ambos criterios.


¿Qué ocurrió?

El 20 de mayo de 2026, Microsoft liberó una actualización fuera de banda para Microsoft Defender que incluye el fix para CVE-2026-45498. Esta vulnerabilidad explota un consumo no controlado de recursos (CWE-400) en la plataforma antimalware, causando que Defender crashee y deje de proteger el endpoint.

La herramienta UnDefend, parte de la familia de exploits BlueHammer publicada por Chaos Eclipse, automatiza la explotación. No requiere autenticación — cualquier proceso en ejecución en el sistema puede dispararlo.


La cadena BlueHammer

Ninguno de los dos CVEs activos opera en aislamiento. El patrón observado en ataques reales:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
Step 1  CVE-2026-41091 (RedSun)
     Escala a SYSTEM desde usuario estándar
     Symlink attack en Malware Protection Engine

Step 2  CVE-2026-45498 (UnDefend)
     Crash al Defender Antimalware Platform
     Real-time protection: OFF
     Sin alertas de AV a partir de este punto

Step 3  Payload deployment (sin detección)
     Ransomware / backdoor / credential harvester
     Exfiltración sin que ningún AV reaccione
     Movimiento lateral libre en la red

El atacante no necesita vencer a tu antivirus. Solo necesita apagarlo.


¿Cómo funciona UnDefend?

El exploit dispara una condición de agotamiento de recursos en el Defender Antimalware Platform (el componente MsMpEng.exe). Al crashear, el servicio se detiene y la protección en tiempo real queda desactivada.

Windows puede mostrar la notificación “Defender está desactivado”, pero en ese punto no hay AV activo que detecte la actividad posterior. El servicio puede reiniciarse automáticamente después, pero la ventana sin protección fue suficiente.


MITRE ATT&CK

TécnicaNombreTáctica
T1562.001Disable or Modify ToolsDefense Evasion
T1499.004Application or System ExploitationImpact
T1036Masquerading (post-evasion)Defense Evasion
T1059Command and Scripting Interpreter (payload)Execution

Señales de detección

Event IDs críticos a monitorear

Event IDFuenteSignificado
5001Windows DefenderReal-Time Protection desactivada
5004Windows DefenderReal-Time Protection configuration changed
7036SystemWindows Defender service stopped
7034SystemService crashed unexpectedly

KQL — Hunting en Microsoft Defender XDR

Detección de Defender detenido inesperadamente

1
2
3
4
5
6
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "ServiceStopped"
| where AdditionalFields has "WinDefend" or AdditionalFields has "MsMpSvc"
| project Timestamp, DeviceName, ActionType, AdditionalFields, InitiatingProcessFileName
| order by Timestamp desc

Gaps en telemetría de Defender (ventana sin protección)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
// Detecta endpoints que dejaron de reportar heartbeat de Defender
DeviceInfo
| where Timestamp > ago(1d)
| summarize LastSeen = max(Timestamp), HeartbeatCount = count() by DeviceName, OnboardingStatus
| where HeartbeatCount < 10  // menos de 10 heartbeats en 24h = sospechoso
| join kind=leftouter (
    DeviceEvents
    | where ActionType == "AntivirusDetection"
    | summarize LastDetection = max(Timestamp) by DeviceName
) on DeviceName
| project DeviceName, LastSeen, HeartbeatCount, LastDetection, OnboardingStatus

Detección de payload post-UnDefend

1
2
3
4
5
6
DeviceProcessEvents
| where Timestamp > ago(7d)
| where FileName in ("ransomware.exe", "cobaltstrike.exe")  // ajusta a tu threat intel
    or ProcessCommandLine has_any ("vssadmin delete", "bcdedit /set", "wbadmin delete")
| project Timestamp, DeviceName, FileName, ProcessCommandLine, AccountName, ProcessIntegrityLevel
| order by Timestamp desc

Hunting en Microsoft Sentinel

1
2
3
4
5
6
7
SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID in (7036, 7034)
| where ServiceName contains "WinDefend" or ServiceName contains "MsMpSvc"
| where EventData contains "stopped" or EventData contains "terminated"
| project TimeGenerated, Computer, ServiceName, EventData
| order by TimeGenerated desc

Mitigación adicional: Tamper Protection

Más allá del parche, la Tamper Protection de Defender mitiga activamente UnDefend — bloquea intentos de modificar o detener el servicio por procesos no autorizados, incluso en sistemas sin parchear.

1
2
3
4
5
# Verificar estado
Get-MpComputerStatus | Select-Object IsTamperProtected, AMProductVersion

# Habilitar (requiere admin o Intune)
Set-MpPreference -DisableTamperProtection $false

Si Tamper Protection está habilitada, el endpoint resistirá UnDefend aunque no esté en v4.18.26040.7 — úsalo como control compensatorio inmediato mientras despliegas el parche.


Playbook SOC

1. Verificación del parche

1
2
Get-MpComputerStatus | Select-Object AMProductVersion, IsTamperProtected, RealTimeProtectionEnabled
# AMProductVersion debe ser >= 4.18.26040.7

2. Forzar actualización

1
2
Update-MpSignature -UpdateSource MicrosoftUpdateServer
Get-MpComputerStatus | Select-Object AMProductVersion

3. Verificación masiva enterprise

1
2
3
4
5
# Script para múltiples endpoints via Invoke-Command
$servers = @("server1", "server2", "server3")
Invoke-Command -ComputerName $servers -ScriptBlock {
    Get-MpComputerStatus | Select-Object PSComputerName, AMProductVersion, IsTamperProtected
}

4. Alerta SIEM

Crear regla de alerta en Microsoft Sentinel:

  • Trigger: Event ID 7036 donde ServiceName = “WinDefend” y State = “stopped”
  • Severidad: Alta
  • Playbook: Notificar SOC + iniciar investigación de endpoint

Remediación

PrioridadAcciónPlazo
🔴 CRÍTICAVerificar AMProductVersion ≥ 4.18.26040.7 en todos los endpointsInmediato
🔴 CRÍTICAHabilitar Tamper Protection como control compensatorioInmediato
🟠 ALTAForzar update en sistemas con Windows Update restringido48 horas
🟠 ALTACrear alertas SIEM para Event ID 5001 y 703648 horas
🟡 MEDIAHunting de gaps en telemetría de DefenderEsta semana
🟡 MEDIAValidar que ningún endpoint dependa solo de Defender (sin EDR secundario)Esta semana

Referencias