Microsoft veröffentlichte am 20. Mai 2026 ein außerplanmäßiges Update für zwei aktiv ausgenutzte Defender‑Zero‑Days: CVE‑2026‑41091 (Privilege Escalation) und CVE‑2026‑45498 (Denial of Service).

Create a landscape editorial hero image for this Studio Global article: What are the newly disclosed Microsoft Defender zero‑day vulnerabilities patched in the May 20 out‑of‑band update (including CVE‑2026‑41091. Article summary: Microsoft’s May 20, 2026 out-of-band Defender update addressed two newly disclosed, actively exploited Defender flaws: CVE-2026-41091, a local privilege-escalation link-following bug, and CVE-2026-45498, a Defender denia. Topic tags: general, government, general web, user generated, education. Reference image context from search candidates: Reference image 1: visual subject ""The May 2026 Patch Tuesday Release breaks a long-standing streak as the first release in nearly two years not to include a zero-day," said Satnam Narang, senior staff research eng" source context "No Zero-Days, but Plenty to Patch in Microsoft May Update" Reference image 2: visual subject "
Microsoft hat am 20. Mai 2026 ein außerplanmäßiges Sicherheitsupdate veröffentlicht, um zwei Zero‑Day‑Schwachstellen in Microsoft Defender zu schließen, die bereits aktiv in Angriffen ausgenutzt wurden. Die Lücken tragen die Kennungen CVE‑2026‑41091 und CVE‑2026‑45498 und wurden kurz nach ihrer Bekanntgabe in den Known Exploited Vulnerabilities (KEV)‑Katalog der US‑Cyberbehörde CISA aufgenommen – ein klares Signal für reale Angriffe und dringenden Patchbedarf.
Beide Schwachstellen betreffen den integrierten Windows‑Schutzmechanismus Microsoft Defender. Obwohl sie technisch unterschiedlich sind, betreffen sie Komponenten, die auf vielen Windows‑Systemen als zentrale Sicherheitslösung laufen.
Bei CVE‑2026‑41091 handelt es sich um eine sogenannte Link‑Following‑Schwachstelle. Ursache ist eine fehlerhafte Behandlung von Dateilinks durch Microsoft Defender: Die Software kann symbolischen Links oder ähnlichen Dateisystem‑Umleitungen folgen, ohne deren Ziel korrekt zu überprüfen.
In der Praxis bedeutet das: Ein lokaler Benutzer kann einen manipulierten symbolischen Link, Junction‑Point oder Reparse‑Point erstellen und Defender dazu bringen, eine privilegierte Operation auf eine andere Datei umzuleiten als vorgesehen.
Da Defender manche Dateien mit erhöhten Rechten verarbeitet, kann ein Angreifer diesen Mechanismus nutzen, um Systemrechte (SYSTEM) zu erlangen – die höchste Privilegstufe unter Windows.
Wichtige Fakten zur Schwachstelle:
Typischer Ablauf eines solchen Angriffs:
Solche Schwachstellen werden häufig als Teil einer Privilege‑Escalation‑Kette genutzt, nachdem ein Angreifer bereits Zugriff auf ein System erlangt hat.
Die zweite Schwachstelle, CVE‑2026‑45498, verursacht einen Denial‑of‑Service (DoS) in Microsoft Defender. Öffentliche technische Details sind derzeit begrenzt; dokumentiert ist lediglich, dass eine Schwachstelle in Defender einen Ausfall oder eine Störung der Schutzkomponenten auslösen kann.
Ein erfolgreicher Angriff könnte beispielsweise:
Da Defender in vielen Unternehmen als primärer Endpoint‑Schutz eingesetzt wird, kann eine Störung des Dienstes ein Zeitfenster für weitere Angriffe oder Malware‑Aktivität schaffen.
Die genaue Angriffstechnik wurde zum Zeitpunkt der Veröffentlichung nicht öffentlich beschrieben.
Microsoft bestätigte, dass beide Schwachstellen bereits in freier Wildbahn ausgenutzt werden, weshalb das außerplanmäßige Update veröffentlicht wurde. Sicherheitsberichte und Advisories bestätigen diese Einschätzung.
Mehrere Indikatoren sprechen für aktive Angriffe:
Bislang wurden jedoch keine detaillierten Exploit‑Samples oder umfassenden Indicators of Compromise öffentlich veröffentlicht.
Die Schwachstellen betreffen Microsoft‑Defender‑Komponenten und damit potenziell viele Windows‑Systeme, darunter:
Entscheidend ist dabei weniger die Windows‑Version als vielmehr die installierte Defender‑Komponente.
Betroffene Versionen laut Advisory:
Da diese Komponenten unabhängig von Windows‑Updates aktualisiert werden, sollten Administratoren die tatsächlichen Defender‑Versionsstände prüfen und nicht nur den Windows‑Build.
Sicherheitsforscher beobachten seit 2026 eine Serie von Exploit‑Veröffentlichungen rund um Microsoft‑Technologien durch einen Akteur namens Nightmare‑Eclipse (auch „Chaotic Eclipse“). Dieser veröffentlichte mehrere Windows‑ und Defender‑Exploits nach einem Streit über den Vulnerability‑Disclosure‑Prozess.
Analysen beschreiben eine Welle von Zero‑Day‑Veröffentlichungen, die gezielt Microsoft‑Sicherheitsmechanismen betreffen.
Allerdings gilt aktuell:
Es gibt keine eindeutigen Belege, dass CVE‑2026‑41091 oder CVE‑2026‑45498 direkt aus dieser Kampagne stammen. Die Schwachstellen treten lediglich im Kontext einer breiteren Serie von Angriffen auf Microsoft‑Sicherheitskomponenten auf.
Organisationen mit Windows‑Systemen sollten diese Schwachstellen mit hoher Priorität patchen.
Empfohlene Schritte:
Falls ein sofortiges Update nicht möglich ist, sollten Unternehmen:
Sicherheitslücken in Endpoint‑Schutzsoftware sind besonders problematisch. Tools wie Microsoft Defender laufen mit erhöhten Systemrechten und sind tief in das Betriebssystem integriert.
Fehler in Datei‑ oder Dienstlogik können daher dazu führen, dass genau die Software, die Angriffe erkennen soll, selbst zur Angriffsoberfläche wird.
Das Update vom 20. Mai zeigt erneut eine zentrale Erkenntnis der IT‑Sicherheit: Auch Schutzsoftware muss regelmäßig gepatcht werden – und zwar genauso schnell wie das Betriebssystem selbst.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Microsoft veröffentlichte am 20. Mai 2026 ein außerplanmäßiges Update für zwei aktiv ausgenutzte Defender‑Zero‑Days: CVE‑2026‑41091 (Privilege Escalation) und CVE‑2026‑45498 (Denial of Service).
Microsoft veröffentlichte am 20. Mai 2026 ein außerplanmäßiges Update für zwei aktiv ausgenutzte Defender‑Zero‑Days: CVE‑2026‑41091 (Privilege Escalation) und CVE‑2026‑45498 (Denial of Service). CVE‑2026‑41091 nutzt eine fehlerhafte Linkauflösung in Microsoft Defender aus und kann einem lokalen Angreifer SYSTEM‑Rechte verschaffen.
Da Defender‑Engine und Plattform unabhängig vom Windows‑Build aktualisiert werden, sollten Administratoren gezielt die installierten Defender‑Versionen prüfen und aktualisieren.