Fuente de datos: Este análisis proviene del feed en tiempo real de CVE Sentry — plataforma de threat intelligence automatizada para entornos Microsoft Azure y M365.


Resumen ejecutivo

CampoValor
CVECVE-2026-45584
CVSS8.1 (HIGH) — AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CWECWE-122 — Heap-based Buffer Overflow
TipoRemote Code Execution
ParcheMicrosoft Malware Protection Engine v1.1.26040.8
Afecta tambiénSystem Center Endpoint Protection · Microsoft Security Essentials
CISA KEV✅ Confirmado — deadline 3 de junio de 2026
ExplotaciónActiva en la wild
Acceso requeridoNinguno — red-accessible, sin autenticación

El escáner como superficie de ataque

La premisa que hace a esta vulnerabilidad especialmente peligrosa: el componente diseñado para protegerte es el vector de ataque.

El Malware Protection Engine (MsMpEng.exe) escanea automáticamente archivos recibidos por cualquier medio — descargas, adjuntos de correo, archivos en red, tráfico SMB. Un archivo malicioso específicamente crafteado no necesita ser ejecutado por el usuario. Solo necesita llegar al filesystem o ser procesado por el motor.

Esto convierte CVE-2026-45584 en uno de los vectores de infección más sigilosos posibles: zero-click para el usuario, con privilegios SYSTEM desde el primer momento.


¿Qué ocurrió?

El mismo parche fuera de banda del 20 de mayo de 2026 (v1.1.26040.8) que corrige RedSun (CVE-2026-41091) también corrige este heap buffer overflow en el Malware Protection Engine.

La vulnerabilidad existe en el parser de ciertos formatos de archivo del engine. Al procesar un archivo malicioso, el engine escribe más datos de los que el buffer heap puede contener, corrompiendo memoria adyacente. Con las técnicas correctas de heap grooming, esta corrupción se convierte en ejecución de código arbitrario con privilegios SYSTEM.

1
2
3
4
5
6
7
[Archivo malicioso]
    → Llega al filesystem (descarga, email, SMB, USB)
         → MsMpEng.exe lo escanea automáticamente (SYSTEM)
              → Heap buffer overflow en el parser
                   → Corrupción de memoria controlada
                        → RCE como SYSTEM
                             → Acceso total al endpoint

No hay interacción del usuario. No hay UAC prompt. No hay defensa de perímetro que detenga un archivo que llega por email corporativo.


Attack Complexity: High — y por qué eso no es suficiente consuelo

El vector CVSS incluye AC:H (Attack Complexity: High). Esto requiere que el atacante pueda preparar condiciones específicas — en este caso, técnicas de heap grooming para explotar la corrupción de memoria de forma confiable.

¿Por qué no baja la urgencia?

  1. Está en el KEV de CISA — confirma explotación activa. Alguien ya resolvió el AC:H.
  2. El mismo parche cubre CVE-2026-41091 — un grupo capaz de explotar el symlink attack también tiene capacidad técnica para resolver heap grooming.
  3. AC:H puede cambiar — una vez que el exploit madura o se filtra, la complejidad práctica baja aunque el CVSS no cambie.
  4. SYSTEM desde el inicio — no hay escalación de privilegios necesaria post-explotación. El payload ya corre con el nivel más alto.

MITRE ATT&CK

TécnicaNombreTáctica
T1190Exploit Public-Facing ApplicationInitial Access
T1203Exploitation for Client ExecutionExecution
T1068Exploitation for Privilege EscalationPrivilege Escalation
T1055Process InjectionDefense Evasion
T1059Command and Scripting InterpreterExecution

La cadena completa BlueHammer

Con los tres CVEs activos juntos, la cadena BlueHammer permite comprometer un endpoint desde red sin ningún acceso previo:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
CVE-2026-45584 (RCE remoto)
     Archivo malicioso procesado por MsMpEng.exe
     SYSTEM shell sin interacción de usuario
     [Punto de entrada inicial ya es SYSTEM]

         Alternativa si el vector es local 

CVE-2026-41091 (RedSun  Privilege Escalation)
     Usuario estándar  SYSTEM via symlink attack

CVE-2026-45498 (UnDefend  Defense Evasion)
     Crash de Defender  protección en tiempo real OFF
     Payload subsecuente sin detección AV

El grupo BlueHammer publicado por Chaos Eclipse entrega las tres piezas necesarias para: entrar, escalar y apagar la defensa.


KQL — Hunting en Microsoft Defender XDR

Procesos hijo anómalos de MsMpEng.exe (indicador de explotación)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
DeviceProcessEvents
| where Timestamp > ago(7d)
| where ParentProcessName == "MsMpEng.exe"
| where FileName in~ (
    "cmd.exe", "powershell.exe", "wscript.exe",
    "cscript.exe", "mshta.exe", "rundll32.exe",
    "regsvr32.exe", "certutil.exe", "bitsadmin.exe"
)
| project Timestamp, DeviceName, FileName, ProcessCommandLine,
          AccountName, ProcessIntegrityLevel, InitiatingProcessFileName
| order by Timestamp desc

Escrituras de archivos sospechosas por MsMpEng.exe

1
2
3
4
5
6
7
8
DeviceFileEvents
| where Timestamp > ago(7d)
| where InitiatingProcessFileName == "MsMpEng.exe"
| where ActionType in ("FileCreated", "FileModified")
| where not (FolderPath startswith @"C:\ProgramData\Microsoft\Windows Defender")
| project Timestamp, DeviceName, FolderPath, FileName,
          ActionType, InitiatingProcessAccountName
| order by Timestamp desc

Conexiones de red salientes desde MsMpEng.exe

1
2
3
4
5
6
7
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where InitiatingProcessFileName == "MsMpEng.exe"
| where RemotePort != 443  // Excluir actualizaciones legítimas de definiciones
| project Timestamp, DeviceName, RemoteIP, RemotePort,
          RemoteUrl, InitiatingProcessFileName
| order by Timestamp desc

Hunting en Microsoft Sentinel

1
2
3
4
5
6
7
8
9
// Proceso hijo de MsMpEng via Event ID 4688
SecurityEvent
| where TimeGenerated > ago(7d)
| where EventID == 4688
| where ParentProcessName endswith "MsMpEng.exe"
| where NewProcessName has_any ("cmd.exe", "powershell.exe", "wscript.exe")
| project TimeGenerated, Computer, Account, NewProcessName,
          ParentProcessName, CommandLine
| order by TimeGenerated desc

Mitigación adicional: ASR Rules

Las reglas de Attack Surface Reduction (ASR) de Defender for Endpoint proporcionan capas de defensa complementarias que pueden mitigar el impacto post-explotación:

1
2
3
4
5
6
7
# Verificar estado de ASR rules
Get-MpPreference | Select-Object AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

# Regla clave: Block process creations from PSExec and WMI commands
# Rule ID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Add-MpPreference -AttackSurfaceReductionRules_Ids d1e49aac-8f56-4280-b9ba-993a6d77406c `
                 -AttackSurfaceReductionRules_Actions Enabled

Playbook SOC

1. Verificación del parche

1
2
3
Get-MpComputerStatus | Select-Object AMEngineVersion, AMProductVersion, RealTimeProtectionEnabled
# AMEngineVersion debe ser >= 1.1.26040.8
# AMProductVersion debe ser >= 4.18.26040.7

2. Forzar actualización inmediata

1
2
Update-MpSignature -UpdateSource MicrosoftUpdateServer
Get-MpComputerStatus | Select-Object AMEngineVersion

3. Verificación masiva enterprise

1
2
3
4
5
6
7
8
9
$servers = @("server1", "server2", "server3")
Invoke-Command -ComputerName $servers -ScriptBlock {
    $status = Get-MpComputerStatus
    [PSCustomObject]@{
        Computer      = $env:COMPUTERNAME
        EngineVersion = $status.AMEngineVersion
        Patched       = ([version]$status.AMEngineVersion -ge [version]"1.1.26040.8")
    }
}

4. Hunting activo post-parche

Aunque el parche sea aplicado, ejecutar las KQL queries anteriores en el período de los últimos 7 días para verificar que no hubo explotación previa al parcheo.

5. Alerta SIEM prioritaria

Crear regla en Microsoft Sentinel:

  • Trigger: Proceso hijo de MsMpEng.exe siendo cmd.exe o powershell.exe
  • Severidad: Crítica
  • Playbook: Isolate endpoint + notificar SOC + iniciar IR

Remediación

PrioridadAcciónPlazo
🔴 CRÍTICAVerificar AMEngineVersion ≥ 1.1.26040.8 en todos los endpointsInmediato
🔴 CRÍTICAForzar update en sistemas con Windows Update restringido48 horas
🟠 ALTAHunting retroactivo de procesos hijo de MsMpEng.exe48 horas
🟠 ALTAAlertas SIEM para procesos hijo anómalos de MsMpEng.exe48 horas
🟡 MEDIAHabilitar y auditar ASR rules en todos los endpointsEsta semana
🟡 MEDIAValidar que los endpoints con acceso de red estén priorizados para el parcheEsta semana

Los tres CVEs en contexto

Esta semana, Microsoft parchó tres vulnerabilidades en el mismo componente. No es coincidencia — es el resultado de una investigación sistemática de Chaos Eclipse sobre la superficie de ataque de Defender:

CVETipoEntradaPrivilegio requerido
CVE-2026-45584RCE remotoRed / archivoNinguno
CVE-2026-41091Privilege EscalationLocalUsuario estándar
CVE-2026-45498Defense Evasion (DoS)LocalCualquier proceso

Si tu entorno tiene un endpoint sin parchear y accesible en red, CVE-2026-45584 sola entrega SYSTEM. Las otras dos extienden el impacto a entornos donde el acceso inicial ya existe.


Referencias