Microsoft Defender के Zero‑Day बग: CVE‑2026‑41091 और CVE‑2026‑45498 कैसे काम करते हैं और क्यों तुरंत अपडेट ज़रूरी है

मुख्य तथ्य:

• कमजोरी का प्रकार: improper link resolution (link‑following)
• संभावित असर: SYSTEM स्तर तक privilege escalation
• CVSS v3.1 स्कोर: 7.8 (High)
• हमला करने के लिए हमलावर को लोकल authenticated एक्सेस चाहिए।

ऐसे हमले आम तौर पर इस तरह काम करते हैं:

• हमलावर एक symbolic link, junction या reparse point बनाता है
• Defender को उस फ़ाइल तक पहुंचने के लिए ट्रिगर किया जाता है
• लिंक के जरिए ऑपरेशन को किसी संवेदनशील सिस्टम फ़ाइल की ओर redirect कर दिया जाता है

हालांकि पूरा exploit सार्वजनिक रूप से साझा नहीं किया गया है, लेकिन इस तरह की कमजोरियां अक्सर privilege escalation chains में इस्तेमाल होती हैं।

CVE‑2026‑45498 — Microsoft Defender Denial‑of‑Service कमजोरी

दूसरी कमजोरी CVE‑2026‑45498 है, जो Microsoft Defender में denial‑of‑service (DoS) स्थिति पैदा कर सकती है। सार्वजनिक दस्तावेज़ों में इसे एक unspecified vulnerability के रूप में वर्णित किया गया है।

यदि इसे सफलतापूर्वक exploit किया जाए, तो संभावित प्रभाव हो सकते हैं:

• Defender के कुछ कंपोनेंट क्रैश हो सकते हैं
• malware scanning रुक सकती है
• real‑time protection अस्थायी रूप से बंद हो सकती है

क्योंकि Defender एंडपॉइंट सुरक्षा का मुख्य हिस्सा है, इसलिए इसे बाधित करने से हमलावरों को बिना पहचान के सिस्टम में गतिविधि करने का मौका मिल सकता है।

इस कमजोरी के exploitation का सटीक तकनीकी तरीका अभी सार्वजनिक नहीं किया गया है।

सक्रिय शोषण (Active Exploitation) के संकेत

Microsoft ने पुष्टि की है कि दोनों कमजोरियों का वास्तविक हमलों में इस्तेमाल किया जा रहा था। यही कारण है कि कंपनी ने नियमित Patch Tuesday का इंतज़ार किए बिना आपातकालीन अपडेट जारी किया।

कई संकेत इस खतरे की पुष्टि करते हैं:

• दोनों CVE को CISA KEV कैटलॉग में जोड़ा गया।
• सुरक्षा रिपोर्टों में बताया गया कि Microsoft ने इन बग्स के active exploitation को स्वीकार किया।
• vulnerability trackers इन्हें high‑severity exploited flaws के रूप में सूचीबद्ध करते हैं।

हालांकि अभी तक सार्वजनिक स्रोतों में exploit code, indicators of compromise या पीड़ित संगठनों का विस्तृत डेटा उपलब्ध नहीं है।

किन सिस्टम पर खतरा है

ये कमजोरियां Windows के किसी एक संस्करण तक सीमित नहीं हैं। क्योंकि समस्या Microsoft Defender के कंपोनेंट्स में है, इसलिए जोखिम मुख्य रूप से Defender के संस्करण पर निर्भर करता है।

संभावित रूप से प्रभावित वातावरण:

• Microsoft Defender चलाने वाले Windows 11 सिस्टम
• Windows Server deployments
• Microsoft Malware Protection Engine से सुरक्षित enterprise endpoints

सलाहकारियों के अनुसार प्रभावित संस्करणों में शामिल हैं:

• Malware Protection Engine: 1.1.26040.8 से पहले के संस्करण
• Defender Platform: 4.18.26040.7 से पहले के संस्करण

महत्वपूर्ण बात यह है कि Defender के engine और platform अपडेट Windows OS अपडेट से अलग जारी होते हैं। इसलिए केवल Windows अपडेट करना पर्याप्त नहीं हो सकता।

“Nightmare‑Eclipse” गतिविधि से संभावित संबंध

कुछ सुरक्षा शोधकर्ताओं ने हाल के महीनों में Microsoft से जुड़े कई zero‑day exploit रिलीज़ को Nightmare‑Eclipse (जिसे Chaotic Eclipse भी कहा जाता है) नाम के एक अभिनेता से जोड़ा है।

रिपोर्टों के अनुसार:

• यह अभिनेता Microsoft की vulnerability disclosure प्रक्रिया से विवाद के बाद सक्रिय हुआ
• 2026 में कई Windows और Defender exploit सार्वजनिक किए गए
• कुछ गतिविधि रूसी‑लोकेटेड इंफ्रास्ट्रक्चर से जुड़ी बताई गई

फिर भी, उपलब्ध साक्ष्य CVE‑2026‑41091 या CVE‑2026‑45498 को सीधे उस अभियान से नहीं जोड़ते। फिलहाल यह केवल व्यापक Defender‑संबंधित कमजोरियों के रुझान का हिस्सा माना जा रहा है।

सुरक्षा के लिए सुझाए गए कदम

यदि आपके संगठन या सिस्टम में Microsoft Defender चल रहा है, तो इन कमजोरियों को उच्च प्राथमिकता वाले पैच के रूप में लें।

अनुशंसित कदम:

• 20 मई के अपडेट के साथ जारी नवीनतम Defender platform और engine अपडेट तुरंत इंस्टॉल करें।
• सभी endpoints पर Defender के platform और engine version की जांच करें।
• खास तौर पर इन सिस्टम को प्राथमिकता दें:
  • multi‑user सिस्टम
  • सर्वर
  • VDI वातावरण
  • डेवलपर वर्कस्टेशन
• Defender के crash, service restart या unusual behavior की निगरानी करें
• user‑writable directories में असामान्य symbolic links या reparse points ढूंढें

यदि तुरंत पैच करना संभव न हो, तो:

• स्थानीय यूज़र एक्सेस सीमित करें
• unnecessary administrative privileges हटाएं
• endpoint protection की स्थिति पर लगातार निगरानी रखें

यह कमजोरियां इतनी महत्वपूर्ण क्यों हैं

एंडपॉइंट सुरक्षा सॉफ्टवेयर सामान्यतः उच्च privileges के साथ चलता है और सिस्टम के कई संवेदनशील हिस्सों तक पहुंच रखता है। यदि उसी सुरक्षा टूल में कमजोरी हो, तो हमलावर को बहुत शक्तिशाली प्रवेश बिंदु मिल सकता है।

Microsoft Defender से जुड़ी ये घटनाएं एक महत्वपूर्ण सुरक्षा सबक दोहराती हैं: सुरक्षा उपकरण भी हमले का लक्ष्य बन सकते हैं, खासकर तब जब वे अनट्रस्टेड फ़ाइलों को प्रोसेस करते हैं या सिस्टम‑स्तरीय अधिकारों के साथ चलते हैं।

इसलिए संगठनों और प्रशासकों के लिए सबसे महत्वपूर्ण कदम है—Defender के नवीनतम अपडेट को जल्दी से जल्दी सभी सिस्टम पर लागू करना ताकि हमलावरों के लिए अवसर की खिड़की बंद हो सके।