Fuente de datos: Este análisis proviene del feed en tiempo real de CVE Sentry — plataforma de threat intelligence automatizada para entornos Microsoft Azure y M365.
Resumen ejecutivo
| Campo | Valor |
|---|---|
| CVE | CVE-2026-45584 |
| CVSS | 8.1 (HIGH) — AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE | CWE-122 — Heap-based Buffer Overflow |
| Tipo | Remote Code Execution |
| Parche | Microsoft Malware Protection Engine v1.1.26040.8 |
| Afecta también | System Center Endpoint Protection · Microsoft Security Essentials |
| CISA KEV | ✅ Confirmado — deadline 3 de junio de 2026 |
| Explotación | Activa en la wild |
| Acceso requerido | Ninguno — red-accessible, sin autenticación |
El escáner como superficie de ataque
La premisa que hace a esta vulnerabilidad especialmente peligrosa: el componente diseñado para protegerte es el vector de ataque.
El Malware Protection Engine (MsMpEng.exe) escanea automáticamente archivos recibidos por cualquier medio — descargas, adjuntos de correo, archivos en red, tráfico SMB. Un archivo malicioso específicamente crafteado no necesita ser ejecutado por el usuario. Solo necesita llegar al filesystem o ser procesado por el motor.
Esto convierte CVE-2026-45584 en uno de los vectores de infección más sigilosos posibles: zero-click para el usuario, con privilegios SYSTEM desde el primer momento.
¿Qué ocurrió?
El mismo parche fuera de banda del 20 de mayo de 2026 (v1.1.26040.8) que corrige RedSun (CVE-2026-41091) también corrige este heap buffer overflow en el Malware Protection Engine.
La vulnerabilidad existe en el parser de ciertos formatos de archivo del engine. Al procesar un archivo malicioso, el engine escribe más datos de los que el buffer heap puede contener, corrompiendo memoria adyacente. Con las técnicas correctas de heap grooming, esta corrupción se convierte en ejecución de código arbitrario con privilegios SYSTEM.
No hay interacción del usuario. No hay UAC prompt. No hay defensa de perímetro que detenga un archivo que llega por email corporativo.
Attack Complexity: High — y por qué eso no es suficiente consuelo
El vector CVSS incluye AC:H (Attack Complexity: High). Esto requiere que el atacante pueda preparar condiciones específicas — en este caso, técnicas de heap grooming para explotar la corrupción de memoria de forma confiable.
¿Por qué no baja la urgencia?
- Está en el KEV de CISA — confirma explotación activa. Alguien ya resolvió el AC:H.
- El mismo parche cubre CVE-2026-41091 — un grupo capaz de explotar el symlink attack también tiene capacidad técnica para resolver heap grooming.
- AC:H puede cambiar — una vez que el exploit madura o se filtra, la complejidad práctica baja aunque el CVSS no cambie.
- SYSTEM desde el inicio — no hay escalación de privilegios necesaria post-explotación. El payload ya corre con el nivel más alto.
MITRE ATT&CK
| Técnica | Nombre | Táctica |
|---|---|---|
| T1190 | Exploit Public-Facing Application | Initial Access |
| T1203 | Exploitation for Client Execution | Execution |
| T1068 | Exploitation for Privilege Escalation | Privilege Escalation |
| T1055 | Process Injection | Defense Evasion |
| T1059 | Command and Scripting Interpreter | Execution |
La cadena completa BlueHammer
Con los tres CVEs activos juntos, la cadena BlueHammer permite comprometer un endpoint desde red sin ningún acceso previo:
| |
El grupo BlueHammer publicado por Chaos Eclipse entrega las tres piezas necesarias para: entrar, escalar y apagar la defensa.
KQL — Hunting en Microsoft Defender XDR
Procesos hijo anómalos de MsMpEng.exe (indicador de explotación)
| |
Escrituras de archivos sospechosas por MsMpEng.exe
| |
Conexiones de red salientes desde MsMpEng.exe
| |
Hunting en Microsoft Sentinel
| |
Mitigación adicional: ASR Rules
Las reglas de Attack Surface Reduction (ASR) de Defender for Endpoint proporcionan capas de defensa complementarias que pueden mitigar el impacto post-explotación:
| |
Playbook SOC
1. Verificación del parche
2. Forzar actualización inmediata
3. Verificación masiva enterprise
| |
4. Hunting activo post-parche
Aunque el parche sea aplicado, ejecutar las KQL queries anteriores en el período de los últimos 7 días para verificar que no hubo explotación previa al parcheo.
5. Alerta SIEM prioritaria
Crear regla en Microsoft Sentinel:
- Trigger: Proceso hijo de
MsMpEng.exesiendocmd.exeopowershell.exe - Severidad: Crítica
- Playbook: Isolate endpoint + notificar SOC + iniciar IR
Remediación
| Prioridad | Acción | Plazo |
|---|---|---|
| 🔴 CRÍTICA | Verificar AMEngineVersion ≥ 1.1.26040.8 en todos los endpoints | Inmediato |
| 🔴 CRÍTICA | Forzar update en sistemas con Windows Update restringido | 48 horas |
| 🟠 ALTA | Hunting retroactivo de procesos hijo de MsMpEng.exe | 48 horas |
| 🟠 ALTA | Alertas SIEM para procesos hijo anómalos de MsMpEng.exe | 48 horas |
| 🟡 MEDIA | Habilitar y auditar ASR rules en todos los endpoints | Esta semana |
| 🟡 MEDIA | Validar que los endpoints con acceso de red estén priorizados para el parche | Esta semana |
Los tres CVEs en contexto
Esta semana, Microsoft parchó tres vulnerabilidades en el mismo componente. No es coincidencia — es el resultado de una investigación sistemática de Chaos Eclipse sobre la superficie de ataque de Defender:
| CVE | Tipo | Entrada | Privilegio requerido |
|---|---|---|---|
| CVE-2026-45584 | RCE remoto | Red / archivo | Ninguno |
| CVE-2026-41091 | Privilege Escalation | Local | Usuario estándar |
| CVE-2026-45498 | Defense Evasion (DoS) | Local | Cualquier proceso |
Si tu entorno tiene un endpoint sin parchear y accesible en red, CVE-2026-45584 sola entrega SYSTEM. Las otras dos extienden el impacto a entornos donde el acceso inicial ya existe.