Microsoft Defender: Zwei aktiv ausgenutzte Zero‑Day‑Lücken gepatcht

Wichtige Fakten zur Schwachstelle:

• Typ: fehlerhafte Linkauflösung („link following“)
• Auswirkung: lokale Privilegienerweiterung bis SYSTEM
• CVSS‑Bewertung: 7,8 (High)
• Voraussetzung: lokaler, authentifizierter Benutzerzugang

Typischer Ablauf eines solchen Angriffs:

• Ein Angreifer erstellt einen manipulierten Dateilink in einem beschreibbaren Verzeichnis
• Defender greift während eines Scan‑ oder Wartungsvorgangs darauf zu
• Die Operation wird auf eine geschützte Systemdatei umgeleitet
• Dadurch kann der Angreifer erhöhte Rechte erhalten

Solche Schwachstellen werden häufig als Teil einer Privilege‑Escalation‑Kette genutzt, nachdem ein Angreifer bereits Zugriff auf ein System erlangt hat.

CVE‑2026‑45498 — Denial‑of‑Service gegen Microsoft Defender

Die zweite Schwachstelle, CVE‑2026‑45498, verursacht einen Denial‑of‑Service (DoS) in Microsoft Defender. Öffentliche technische Details sind derzeit begrenzt; dokumentiert ist lediglich, dass eine Schwachstelle in Defender einen Ausfall oder eine Störung der Schutzkomponenten auslösen kann.

Ein erfolgreicher Angriff könnte beispielsweise:

• Defender‑Dienste zum Absturz bringen
• Malware‑Scans unterbrechen
• Echtzeit‑Schutzfunktionen vorübergehend deaktivieren

Da Defender in vielen Unternehmen als primärer Endpoint‑Schutz eingesetzt wird, kann eine Störung des Dienstes ein Zeitfenster für weitere Angriffe oder Malware‑Aktivität schaffen.

Die genaue Angriffstechnik wurde zum Zeitpunkt der Veröffentlichung nicht öffentlich beschrieben.

Hinweise auf aktive Ausnutzung

Microsoft bestätigte, dass beide Schwachstellen bereits in freier Wildbahn ausgenutzt werden, weshalb das außerplanmäßige Update veröffentlicht wurde. Sicherheitsberichte und Advisories bestätigen diese Einschätzung.

Mehrere Indikatoren sprechen für aktive Angriffe:

• Beide CVEs wurden in den CISA‑KEV‑Katalog aufgenommen – eine Liste von Schwachstellen mit bestätigter Ausnutzung.
• Sicherheitsberichte zitieren Microsoft mit der Bestätigung, dass sowohl die Privilege‑Escalation‑ als auch die DoS‑Lücke aktiv angegriffen werden.
• Vulnerability‑Tracker führen beide Einträge als aktiv ausgenutzte Schwachstellen mit hoher Schwere.

Bislang wurden jedoch keine detaillierten Exploit‑Samples oder umfassenden Indicators of Compromise öffentlich veröffentlicht.

Betroffene Systeme

Die Schwachstellen betreffen Microsoft‑Defender‑Komponenten und damit potenziell viele Windows‑Systeme, darunter:

• Windows‑11‑Rechner
• Windows‑Server‑Installationen
• Unternehmensendpunkte mit Microsoft Malware Protection Engine

Entscheidend ist dabei weniger die Windows‑Version als vielmehr die installierte Defender‑Komponente.

Betroffene Versionen laut Advisory:

• Microsoft Malware Protection Engine: Versionen vor 1.1.26040.8
• Microsoft Defender Plattform: Versionen vor 4.18.26040.7

Da diese Komponenten unabhängig von Windows‑Updates aktualisiert werden, sollten Administratoren die tatsächlichen Defender‑Versionsstände prüfen und nicht nur den Windows‑Build.

Zusammenhang mit der „Nightmare‑Eclipse“-Aktivität?

Sicherheitsforscher beobachten seit 2026 eine Serie von Exploit‑Veröffentlichungen rund um Microsoft‑Technologien durch einen Akteur namens Nightmare‑Eclipse (auch „Chaotic Eclipse“). Dieser veröffentlichte mehrere Windows‑ und Defender‑Exploits nach einem Streit über den Vulnerability‑Disclosure‑Prozess.

Analysen beschreiben eine Welle von Zero‑Day‑Veröffentlichungen, die gezielt Microsoft‑Sicherheitsmechanismen betreffen.

Allerdings gilt aktuell:

Es gibt keine eindeutigen Belege, dass CVE‑2026‑41091 oder CVE‑2026‑45498 direkt aus dieser Kampagne stammen. Die Schwachstellen treten lediglich im Kontext einer breiteren Serie von Angriffen auf Microsoft‑Sicherheitskomponenten auf.

Empfohlene Schutzmaßnahmen

Organisationen mit Windows‑Systemen sollten diese Schwachstellen mit hoher Priorität patchen.

Empfohlene Schritte:

• Die Microsoft‑Defender‑Updates vom 20. Mai 2026 sofort installieren.
• Defender‑Plattform‑ und Engine‑Versionen auf allen Endpunkten überprüfen.
• Besonders kritische Systeme priorisieren, etwa:
  • Multi‑User‑Systeme
  • Server
  • VDI‑Umgebungen
  • Entwickler‑Workstations
• Defender‑Logs auf ungewöhnliche Ereignisse prüfen, etwa Abstürze oder unerwartete Neustarts.
• Nach verdächtigen symbolischen Links oder Reparse‑Points in beschreibbaren Verzeichnissen suchen.

Falls ein sofortiges Update nicht möglich ist, sollten Unternehmen:

• lokale Benutzerrechte minimieren
• interaktiven Zugriff einschränken
• Endpoint‑Schutzstatus eng überwachen

Warum Defender‑Schwachstellen besonders kritisch sind

Sicherheitslücken in Endpoint‑Schutzsoftware sind besonders problematisch. Tools wie Microsoft Defender laufen mit erhöhten Systemrechten und sind tief in das Betriebssystem integriert.

Fehler in Datei‑ oder Dienstlogik können daher dazu führen, dass genau die Software, die Angriffe erkennen soll, selbst zur Angriffsoberfläche wird.

Das Update vom 20. Mai zeigt erneut eine zentrale Erkenntnis der IT‑Sicherheit: Auch Schutzsoftware muss regelmäßig gepatcht werden – und zwar genauso schnell wie das Betriebssystem selbst.