Microsoft закрыла две активно эксплуатируемые zero‑day уязвимости Defender

Основные характеристики:

• тип уязвимости: неправильное разрешение ссылок (link‑following)
• воздействие: локальное повышение привилегий до SYSTEM
• оценка CVSS v3.1: 7.8 (High)
• для эксплуатации требуется локальный авторизованный пользователь.

Обычно атака такого типа строится так:

• создаётся вредоносная символическая ссылка, junction или reparse‑point
• атакующий заставляет Defender выполнить операцию с файлом
• операция перенаправляется на защищённый системный файл

Полные детали эксплуатации публично не раскрыты, но подобные уязвимости часто используются как часть цепочек повышения привилегий после первоначального проникновения.

CVE‑2026‑45498 — уязвимость отказа в обслуживании

Вторая проблема — CVE‑2026‑45498 — позволяет вызвать отказ в обслуживании (DoS) в Microsoft Defender.

Официальное описание уязвимости пока довольно краткое: речь идёт о неопределённой ошибке, которая может привести к нарушению работы защитного механизма.

При успешной эксплуатации злоумышленник может:

• вызвать сбой компонентов Defender
• прервать процесс сканирования вредоносного ПО
• временно отключить защитные функции

Так как Defender обеспечивает защиту в реальном времени, даже кратковременное отключение может создать окно для запуска вредоносного кода или закрепления злоумышленника в системе.

Точные технические детали эксплуатации пока не опубликованы.

Признаки активной эксплуатации

Microsoft подтвердила, что обе уязвимости уже используются в атаках, поэтому исправление было выпущено вне обычного графика обновлений.

Есть несколько подтверждений этого:

• обе уязвимости добавлены в каталог CISA Known Exploited Vulnerabilities, куда попадают только проблемы с подтверждённой эксплуатацией.
• сообщения специалистов по безопасности указывают, что Microsoft признала активные атаки, использующие эти уязвимости.
• трекеры уязвимостей отмечают их как активно эксплуатируемые проблемы высокой серьёзности.

При этом публичные источники пока не публиковали образцы эксплойтов, индикаторы компрометации или телеметрию жертв.

Какие системы могут быть затронуты

Проблема связана не столько с конкретной версией Windows, сколько с компонентами Microsoft Defender и Malware Protection Engine.

Под угрозой могут находиться:

• системы Windows 11 с включённым Defender
• серверы Windows Server, использующие Defender
• корпоративные устройства, защищённые Microsoft Malware Protection Engine

Сообщается, что уязвимыми считаются версии:

• Malware Protection Engine до 1.1.26040.8
• платформа Microsoft Defender до 4.18.26040.7.

Важно учитывать, что обновления Defender распространяются отдельно от обновлений Windows. Поэтому обновление системы не всегда означает, что компонент Defender уже исправлен.

Возможная связь с активностью Nightmare‑Eclipse

Исследователи безопасности также обсуждают волну эксплойтов против продуктов Microsoft, связанную с актором Nightmare‑Eclipse (или Chaotic Eclipse). Этот исследователь или группа публиковали несколько zero‑day‑эксплойтов Windows и Defender в 2026 году после конфликта с Microsoft по поводу процесса раскрытия уязвимостей.

По данным аналитиков, кампания включала серию публикаций уязвимостей, нацеленных на компоненты безопасности Windows.

Однако на данный момент нет прямых доказательств, что CVE‑2026‑41091 или CVE‑2026‑45498 напрямую связаны с этой кампанией. Скорее всего, они происходят на фоне более широкой волны атак на экосистему Defender.

Что должны сделать администраторы

Организациям, использующим Windows и Microsoft Defender, рекомендуется рассматривать эти уязвимости как приоритетные для устранения.

Основные меры:

• установить последние обновления платформы Defender и Malware Protection Engine, выпущенные 20 мая.
• проверить версии Defender на конечных устройствах, а не полагаться только на уровень обновлений Windows.
• в первую очередь обновить серверы, VDI‑системы, рабочие станции разработчиков и многопользовательские машины, где риск повышения привилегий выше.
• мониторить системы на признаки нестабильной работы Defender: сбои, перезапуски сервисов или отключения защиты.
• проверять наличие подозрительных символических ссылок или reparse‑точек в каталогах с правом записи пользователями.

Если немедленное обновление невозможно, стоит временно ограничить локальный доступ пользователей, минимизировать административные права и внимательно следить за состоянием защиты на конечных устройствах.

Почему уязвимости в Defender особенно опасны

Ошибки в программном обеспечении безопасности имеют особую ценность для атакующих. Defender глубоко интегрирован в Windows и работает с повышенными привилегиями, поэтому любая ошибка в обработке файлов или работе сервисов может дать злоумышленнику мощную точку опоры.

Обновление от 20 мая ещё раз показывает важный принцип кибербезопасности: даже инструменты защиты могут становиться поверхностью атаки.

Для компаний и администраторов главный вывод очевиден — обновления Defender нужно устанавливать как можно быстрее, чтобы закрыть окно для эксплуатации этих уязвимостей.