Microsoft‑Defender‑Zero‑Days unter Angriff: Details zu CVE‑2026‑41091 und CVE‑2026‑45498

Technischer Hintergrund

Die Engine löst symbolische Links vor dem Dateizugriff fehlerhaft auf – ein klassischer „link following“-Fehler.

Ein Angreifer mit bereits vorhandenem Zugang auf einem System (z. B. mit eingeschränkten Benutzerrechten) kann diese Logik ausnutzen und Dateizugriffe der Defender‑Engine manipulieren.

Gelingt der Angriff, kann der Angreifer seine Rechte bis auf SYSTEM‑Level erhöhen – die höchste Berechtigungsstufe unter Windows. Dadurch erhält er praktisch vollständige Kontrolle über das System.

Betroffene Versionen

Sicherheitsanalysen nennen insbesondere folgende Versionen als verwundbar:

• Microsoft Malware Protection Engine: Versionen 1.1.26030.3008 bis 1.1.26040.7

Da diese Engine während Scans mit erhöhten Rechten arbeitet, kann eine erfolgreiche Ausnutzung Vertraulichkeit, Integrität und Verfügbarkeit eines Systems gefährden.

CVE‑2026‑45498: Denial‑of‑Service gegen Microsoft Defender

Die zweite Schwachstelle, CVE‑2026‑45498, ermöglicht einen Denial‑of‑Service‑Angriff (DoS) gegen Microsoft Defender.

Einstufung

• CVSS‑Score: etwa 4,0 (Medium) laut Sicherheitsberichten
• Angriffstyp: Denial of Service
• Status: ebenfalls bereits aktiv ausgenutzt

Auswirkungen

Technische Details sind bislang nur begrenzt öffentlich. Laut verfügbaren Beschreibungen kann ein Angreifer Defender in einen nicht funktionsfähigen Zustand versetzen.

Das bedeutet: Die Sicherheitssoftware kann ihre Schutzfunktionen zeitweise nicht ausführen – ein ideales Zeitfenster für weitere Malware‑ oder Intrusionsversuche.

Betroffene Defender‑Komponenten

Mehrere Sicherheitswarnungen weisen darauf hin, dass ältere Versionen folgender Komponenten betroffen sind:

• Microsoft Malware Protection Engine: Versionen vor 1.1.26040.8
• Microsoft Defender Plattform: Versionen vor 4.18.26040.7

Ein Update auf neuere Versionen behebt die Schwachstellen.

Microsoft‑Updates und Patch‑Verteilung

Microsoft stellte im Mai 2026 Sicherheitsupdates bereit, die beide Lücken schließen. Die Updates werden über die automatischen Aktualisierungsmechanismen von Defender verteilt.

In vielen Windows‑Umgebungen erfolgt die Aktualisierung der Defender‑Engine und der Sicherheitsintelligenz automatisch im Hintergrund. Administratoren sollten dennoch prüfen, ob:

• Engine‑Versionen aktuell sind
• Plattform‑Updates installiert wurden
• Update‑Mechanismen nicht deaktiviert sind

Aufnahme in den CISA‑KEV‑Katalog

CISA fügte beide Schwachstellen am 20. Mai 2026 dem KEV‑Katalog hinzu, nachdem Hinweise auf aktive Ausnutzung vorlagen.

Für US‑Bundesbehörden gilt dabei eine verbindliche Frist im Rahmen der Binding Operational Directive (BOD) 22‑01:

• Behebung bis 3. Juni 2026

Behörden müssen entweder die vom Hersteller bereitgestellten Patches installieren, alternative Schutzmaßnahmen umsetzen oder betroffene Produkte außer Betrieb nehmen.

Größerer Kontext: Wachsende Zahl aktiv ausgenutzter Microsoft‑Lücken

Die Defender‑Zero‑Days tauchten in einer Phase auf, in der mehrere aktiv ausgenutzte Schwachstellen in Microsoft‑Produkten gemeldet wurden. Sicherheitsforscher beobachten 2026 wiederholt Kampagnen, die Windows‑ und Unternehmenssoftware gezielt angreifen.

In derselben KEV‑Aktualisierung nahm CISA neben den Defender‑Lücken auch mehrere ältere Windows‑ und Adobe‑Schwachstellen auf – einige davon stammen sogar aus den Jahren 2008 bis 2010.

Das zeigt ein typisches Muster in der Cybersicherheit: Angreifer nutzen sowohl neue Zero‑Days als auch alte, ungepatchte Schwachstellen, solange Systeme verwundbar bleiben.

Fazit für IT‑ und Security‑Teams

Die beiden Defender‑Zero‑Days machen deutlich, dass selbst Sicherheitssoftware ein attraktives Angriffsziel sein kann. Wenn Komponenten mit hohen Systemrechten kompromittiert werden, kann der gesamte Endpoint gefährdet sein.

Organisationen sollten daher:

• Defender‑Engine und Plattform automatisch aktualisieren lassen
• Patch‑Management für KEV‑Einträge priorisieren
• Endpoint‑Schutz regelmäßig überprüfen

Gerade weil beide Schwachstellen bereits vor der Veröffentlichung aktiv ausgenutzt wurden, könnten Systeme mit veralteten Defender‑Versionen zeitweise ungeschützt gewesen sein.