Microsoft Defender: Neue Zero-Day-Lücken werden bereits aktiv ausgenutzt

Microsoft Defender-Rechteerhöhungs-Schwachstelle CVE‑2026‑41091 ist eine als „Wichtig" eingestufte Rechteerhöhungs-Schwachstelle, die auf eine unzureichende Link-Auflösung vor dem Dateizugriff („Link-Following") in der Scan-Logik ückzuführen ist.

Ein authentifizierter lokaler Angreifer kann diese Schwachstelle ausnutzen, um zu erreichen, dass Defender auf manipulierte Links oder Junctions folgt und auf, wodurch schließlich Rechte auf SYSTEM-Ebene erlangt werden.

Microsoft bestätigt, dass diese Schwachstelle öffentlich bekanntgegeben wurde und bereits aktiv ausgenutzt wird; der Exploitability-Index zeigt „Exploitation Detected".

Eine erfolgreiche Ausnutzung ermöglicht es Angreifern,

Eine erfolgreiche Ausnutzung ermöglicht es Angreifern, Sicherheitstools zu deaktivieren oder zu manipulieren, persistente Payloads bereitzustellen, auf sensible Daten zuzugreifen und neue Konten mit hohen Berechtigungen anzulegen, wodurch die Auswirkungen eines anfänglichen Kompromittierungsereignisses erheblich verstärkt werden.

Die letzte Engine betroffene Version ist 1.1.26030.3008; das Problem wird ab Version 1.1.26040.8 behoben.

Bemerkenswerterweise können Umgebungen, in denen Defender deaktiviert ist, ällig markiert werden, da die Binärdateien und versionierten Komponenten weiterhin auf der Festplatte vorhanden sind, auch wenn die Konfiguration in der Praxis nicht als ausnutzbar gilt. Microsoft Defender Denial of Service Vulnerability.

Sicherheitslage und Risiko

Die zweite Schwachstelle, CVE‑2026‑45498, ist eine Denial-of-Service-Schwachstelle in der Microsoft Defender Antimalware-Plattform.

Es wurde zudem öffentlich bekanntgegeben und als im wilden Einsatz ausgenutzt bestätigt, mit dem Status „Exploitation Detected" in der Ausnutzbarkeitsbewertung dieser Schwachstelle auf Plattformebene können Angreifer potenziell Defender zum Absturz bringen oder dessen Schutzfähigkeiten beeinträchtigen, wodurch sich eine Angriffsfläche für nachfolgende Angriffe und eine heimliche Persistenz ergibt.

Die letzte betroffene Plattformversion ist 4.18.26030.3011; die Behebungen wurden in Version 4.18.26040.7 bereitgestellt.

Wie beim Engine-Fehler können Systeme, auf

Wie beim Engine-Fehler können Systeme, auf denen Defender deaktiviert ist, in Scan-Ergebnissen weiterhin als anfällig erscheinen, da Versionenprüfungen der installierten Binärdateien durchgeführt werden, obwohl sie nicht in einem ausnutzbaren Zustand sind.

Die US-Cybersecurity- and Infrastructure Security Agency (CISA) hat sowohl CVE‑2026‑41091 als auch CVE‑2026‑45498 in ihren Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen, was die bestätigte Ausnutzung in der Praxis unterstreicht.

Gemäß der verbindlichen operativen Direktive (BOD) 22‑01 müssen Bundesbehörden der zivilen Exekutive (FCEB) diese Schwachstellen auf Windows-Endpunkten und Servern bis zum 3. Juni 2026 beheben, was Verteidigern eine zweiwöchige Frist ab der Aufnahme der Schwachstelle in das KEV-Verzeichnis am 20. Mai einräumt.

Technik und Auswirkungen

Erforderliche Maßnahmen für Verteidiger Microsoft betont, dass keine zusätzlichen manuellen Installationen, da die Standardmechanismen für den Motor und die Plattform so konzipiert sind, dass sie sich automatisch und regelmäßig aktualisieren.

Organisationen werden jedoch dringend aufgefordert zu überprüfen, ob Updates tatsächlich wie erwartet bereitgestellt und angewendet werden. Stellen Sie sicher, dass auf allen Endpunkten die Version des Defender-Motors mindestens 1.1.26040.8 und die Version der Antimalware-Plattform mindestens 4.18.26040.7 beträgt.

Nutzen Sie die App „Windows-Sicherheit", um unter „Viren- und Bedrohungsschutz" den Punkt „Schutzupdates" auszuwählen und dort „Nach Updates suchen" zu wählen, um bei Bedarf ein Update durchzuführen.

Sicherheitslage und Risiko

Gehen Sie in Windows-Sicherheit > Einstellungen > Über und prüfen Sie, ob die Version des Antimalware-Client die festgelegten Versionen erreicht oder überschreitet.

Microsoft weist darauf hin, dass der Defender-Engine in der Regel monatlich aktualisiert wird, während die Malware-Definitionen mehrmals täglich aktualisiert werden, und empfiehlt Unternehmen, ihre Update-Verteilungsprozesse kontinuierlich zu validieren.

Die Aktualisierung enthält zudem weitere Verbesserungen im Sinne einer verteidigungstiefen Architektur über die spezifischen Schwachstellenbehebungen hinaus.

Da Microsoft Defender standardmäßig auf allen unterstützten Windows-Versionen bereitgestellt wird und in Produkten wie Microsoft System Center Endpoint Protection und Microsoft Security Essentials wiederverwendet wird, stellen diese aktiv ausgenutzten 0-Day-Schwachstellen eine hochattraktive Angriffsfläche für Bedrohungsakteure dar.