1. Alertas de Seguridad
  2. Vulnerabilidad Critica(CVE-2026-45498) - Denegación de Servicio "UnDefend" en Microsoft Defender

Vulnerabilidad Critica(CVE-2026-45498) - Denegación de Servicio "UnDefend" en Microsoft Defender

Fecha de publicación: Vie, 29/05/2026 - 16:37

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

La vulnerabilidad CVE-2026-45498 se debe a un problema de consumo incontrolado de recursos, en el motor de escaneo de Microsoft Defender. Un atacante no autenticado en la red puede enviar un archivo maliciosamente diseñado. Cuando el antivirus lo analiza de manera automática (por ejemplo, al descargarlo de internet o recibirlo por correo), el proceso principal (MsMpEng.exe) se sobrecarga y se congela o se detiene de forma abrupta.

El exploit conocido como "UnDefend" opera de dos maneras :

  • Modo Pasivo: Bloquea silenciosamente la descarga de nuevas firmas del antivirus. El equipo parece estar sano y al día en las consolas de administración, pero su base de datos de virus queda congelada en el tiempo.
  • Modo Agresivo: Provoca la detención completa y permanente de Microsoft Defender, usualmente cuando se intenta forzar una actualización del sistema.

Recursos afectados

La vulnerabilidad afecta a las siguientes plataformas no actualizadas:

  • Microsoft Defender Antimalware Platform: Versiones desde la 4.18.26030.3011 hasta anteriores a la 4.18.26040.7.
  • Microsoft Malware Protection Engine (MPE): Versiones desde la 1.1.26030.3008 hasta anteriores a la 1.1.26040.8.
  • Sistemas Operativos: Windows 11 (24H2, 25H2, 26H1) y Windows Server 2025.
  • Otras soluciones afectadas: System Center Endpoint Protection y Microsoft Security Essentials.

Solución

Para corregir esta vulnerabilidad de raíz, es obligatorio comprobar que Microsoft Defender se haya actualizado a las siguientes versiones mínimas :

  • Plataforma de Microsoft Defender: Versión 4.18.26040.7 o superior.
  • Motor de Protección (MPE): Versión 1.1.26040.8 o superior.

Nota: Debido a que el exploit "UnDefend" bloquea activamente las actualizaciones, es posible que el sistema muestre que está actualizado cuando no lo está. Se recomienda forzar y verificar la instalación de forma manual en los endpoints.

Mitigación

  • Utilizar soluciones de control Zero-Trust a nivel de kernel independientes de Defender (como Symantec DCS con políticas sym_win_hardened_sbp) para evitar que procesos de usuario modifiquen archivos críticos o escriban binarios no autorizados.
  • Bloquear mediante directivas de seguridad la ejecución de consolas de comando (cmd.exe o PowerShell) iniciadas por aplicaciones de usuario comunes.
  • Reducir la exposición a redes públicas y filtrar correos electrónicos para evitar la descarga automática de archivos sospechosos.

Indicadores de compromiso

  • Presencia de binarios con nombres del exploit original como UnDefend.exe, RedSun.exe, FunnyApp.exe o z.exe ejecutados desde carpetas de usuario comunes (ej. Descargas o Imágenes).
  • Múltiples equipos informando simultáneamente el Código de Error 80070643 al intentar descargar definiciones de Defender.
  • Picos de uso extremo de CPU de MsMpEng.exe seguidos por la detención inesperada del servicio.

Recomendaciones

  • No confíe únicamente en los reportes de cumplimiento de la consola central, eealice auditorías directas en los equipos para cruzar las fechas de actualización reales.
  • Asegúrese de contar con herramientas de monitoreo de tráfico de red independientes, si el antivirus local es desactivado, la red será su único método de detección.
  • Configure las herramientas de detección EDR para alertar llamadas sospechosas a la función CfRegisterSyncRoot fuera de programas empresariales autorizados (como OneDrive).

Referencias