Actualizaciones para Microsoft Defender y Trend Micro

El miércoles, Microsoft comenzó a implementar parches de seguridad para dos vulnerabilidades de Defender que han sido explotadas en ataques Zero-Day.

La primera, identificada como CVE-2026-41091, es una vulnerabilidad de escalamiento de privilegios que afecta a Microsoft Malware Protection Engine 1.1.26030.3008 y versiones anteriores, la cual proporciona las capacidades de análisis, detección y limpieza para el software antivirus y antispyware de Microsoft.

Esta vulnerabilidad se origina en una debilidad de resolución de enlaces incorrecta antes del acceso a archivos (seguimiento de enlaces), lo que permite a los atacantes obtener privilegios de SYSTEM.

Una segunda vulnerabilidad (CVE-2026-45498) afecta a los sistemas que ejecutan Microsoft Defender Antimalware Platform 4.18.26030.3011 y versiones anteriores, un conjunto de herramientas de seguridad que también utilizan Microsoft System Center Endpoint Protection, System Center 2012 R2 Endpoint Protection, System Center 2012 Endpoint Protection y Security Essentials.

Según Microsoft, la explotación exitosa permite a los ciberdelincuentes provocar ataques de denegación de servicio (DoS) en dispositivos Windows sin actualizar.

Microsoft ha lanzado las versiones 1.1.26040.8 y 4.18.26040.7 del Motor de Protección contra Malware, respectivamente, para solucionar estas dos vulnerabilidades de seguridad, y ha añadido que los usuarios no deberían tener que tomar ninguna medida para proteger sus sistemas, ya que "la configuración predeterminada del software antimalware de Microsoft garantiza que las definiciones de malware y la Plataforma Antimalware de Windows Defender se mantengan actualizadas automáticamente".

Sin embargo, los usuarios deben comprobar si las actualizaciones de la Plataforma Antimalware de Windows Defender y las definiciones de malware están configuradas para instalarse automáticamente y verificar si la actualización se instaló siguiendo estos pasos:

El martes, también se compartieron medidas de mitigación para YellowKey, una vulnerabilidad de día cero de Windows BitLocker recientemente descubierta que permite a los atacantes acceder a unidades protegidas.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) agregó estas dos vulnerabilidades de día cero a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV).

Trend Micro Apex One

CISA también añadió dos fallos de seguridad que afectan a Langflow y a Trend Micro Apex One a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), citando pruebas de explotación activa.

Las vulnerabilidades en cuestión se enumeran a continuación:

• CVE-2025-34291 (puntuación CVSS: 9.4) — Una vulnerabilidad de error en la validación de origen en Langflow que podría permitir a un atacante ejecutar código arbitrario y lograr el compromiso total del sistema.
• CVE-2026-34926 (puntuación CVSS: 6.7) — Una vulnerabilidad de recorrido de directorios en las versiones locales de Trend Micro Apex One que podría permitir a un atacante local preautenticado modificar una tabla de claves en el servidor para inyectar código malicioso, el cual sería distribuido a los agentes en las instalaciones afectadas.

En un informe publicado en diciembre de 2025, Obsidian Security señaló que el CVE-2025-34291 explota tres debilidades combinadas: una configuración CORS excesivamente permisiva, la falta de protección contra la falsificación de solicitudes entre sitios (CSRF) y un punto de conexión que permite la ejecución de código por diseño.

Desde entonces, la vulnerabilidad ha sido explotada por un grupo de hackers patrocinado por el Estado iraní, denominado MuddyWater, para obtener acceso inicial a las redes objetivo, según un análisis de Ctrl-Alt-Intel publicado en marzo de 2026.

Fuente: BC