20 мая 2026 года Microsoft выпустила внеплановое обновление Microsoft Defender, закрывающее две активно эксплуатируемые zero‑day уязвимости: CVE‑2026‑41091 и CVE‑2026‑45498. CVE‑2026‑41091 позволяет локальному пользователю повысить привилегии до уровня SYSTEM через уязвимость «link‑following» в механизме обработки ф...

Create a landscape editorial hero image for this Studio Global article: What are the newly disclosed Microsoft Defender zero‑day vulnerabilities patched in the May 20 out‑of‑band update (including CVE‑2026‑41091. Article summary: Microsoft’s May 20, 2026 out-of-band Defender update addressed two newly disclosed, actively exploited Defender flaws: CVE-2026-41091, a local privilege-escalation link-following bug, and CVE-2026-45498, a Defender denia. Topic tags: general, government, general web, user generated, education. Reference image context from search candidates: Reference image 1: visual subject ""The May 2026 Patch Tuesday Release breaks a long-standing streak as the first release in nearly two years not to include a zero-day," said Satnam Narang, senior staff research eng" source context "No Zero-Days, but Plenty to Patch in Microsoft May Update" Reference image 2: visual subject "
Microsoft выпустила внеплановое обновление безопасности 20 мая 2026 года, чтобы устранить две уязвимости нулевого дня в Microsoft Defender — CVE‑2026‑41091 и CVE‑2026‑45498. Обе проблемы уже использовались в реальных атаках, поэтому их быстро добавили в каталог Known Exploited Vulnerabilities (KEV) Агентства кибербезопасности США (CISA), что означает подтверждённую эксплуатацию злоумышленниками.
Уязвимости различаются по технической природе: одна позволяет повысить привилегии до SYSTEM, а другая может нарушить работу защитных механизмов Defender. Но обе опасны, потому что затрагивают систему безопасности, которая по умолчанию защищает большинство компьютеров Windows.
Уязвимость CVE‑2026‑41091 связана с неправильной обработкой файловых ссылок в Microsoft Defender. Проблема возникает из‑за того, что система защиты может некорректно разрешать ссылки перед доступом к файлам — так называемая ошибка link‑following.
На практике это означает, что Defender может перейти по символической ссылке или другому механизму перенаправления файловой системы, созданному пользователем, и выполнить операцию не над тем файлом, который ожидался.
Поскольку Defender работает с повышенными правами, злоумышленник может использовать этот механизм, чтобы заставить систему выполнить действие над защищёнными файлами. В результате атакующий может повысить свои привилегии до уровня SYSTEM, то есть получить полный контроль над компьютером.
Основные характеристики:
Обычно атака такого типа строится так:
Полные детали эксплуатации публично не раскрыты, но подобные уязвимости часто используются как часть цепочек повышения привилегий после первоначального проникновения.
Вторая проблема — CVE‑2026‑45498 — позволяет вызвать отказ в обслуживании (DoS) в Microsoft Defender.
Официальное описание уязвимости пока довольно краткое: речь идёт о неопределённой ошибке, которая может привести к нарушению работы защитного механизма.
При успешной эксплуатации злоумышленник может:
Так как Defender обеспечивает защиту в реальном времени, даже кратковременное отключение может создать окно для запуска вредоносного кода или закрепления злоумышленника в системе.
Точные технические детали эксплуатации пока не опубликованы.
Microsoft подтвердила, что обе уязвимости уже используются в атаках, поэтому исправление было выпущено вне обычного графика обновлений.
Есть несколько подтверждений этого:
При этом публичные источники пока не публиковали образцы эксплойтов, индикаторы компрометации или телеметрию жертв.
Проблема связана не столько с конкретной версией Windows, сколько с компонентами Microsoft Defender и Malware Protection Engine.
Под угрозой могут находиться:
Сообщается, что уязвимыми считаются версии:
Важно учитывать, что обновления Defender распространяются отдельно от обновлений Windows. Поэтому обновление системы не всегда означает, что компонент Defender уже исправлен.
Исследователи безопасности также обсуждают волну эксплойтов против продуктов Microsoft, связанную с актором Nightmare‑Eclipse (или Chaotic Eclipse). Этот исследователь или группа публиковали несколько zero‑day‑эксплойтов Windows и Defender в 2026 году после конфликта с Microsoft по поводу процесса раскрытия уязвимостей.
По данным аналитиков, кампания включала серию публикаций уязвимостей, нацеленных на компоненты безопасности Windows.
Однако на данный момент нет прямых доказательств, что CVE‑2026‑41091 или CVE‑2026‑45498 напрямую связаны с этой кампанией. Скорее всего, они происходят на фоне более широкой волны атак на экосистему Defender.
Организациям, использующим Windows и Microsoft Defender, рекомендуется рассматривать эти уязвимости как приоритетные для устранения.
Основные меры:
Если немедленное обновление невозможно, стоит временно ограничить локальный доступ пользователей, минимизировать административные права и внимательно следить за состоянием защиты на конечных устройствах.
Ошибки в программном обеспечении безопасности имеют особую ценность для атакующих. Defender глубоко интегрирован в Windows и работает с повышенными привилегиями, поэтому любая ошибка в обработке файлов или работе сервисов может дать злоумышленнику мощную точку опоры.
Обновление от 20 мая ещё раз показывает важный принцип кибербезопасности: даже инструменты защиты могут становиться поверхностью атаки.
Для компаний и администраторов главный вывод очевиден — обновления Defender нужно устанавливать как можно быстрее, чтобы закрыть окно для эксплуатации этих уязвимостей.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
20 мая 2026 года Microsoft выпустила внеплановое обновление Microsoft Defender, закрывающее две активно эксплуатируемые zero‑day уязвимости: CVE‑2026‑41091 и CVE‑2026‑45498.
20 мая 2026 года Microsoft выпустила внеплановое обновление Microsoft Defender, закрывающее две активно эксплуатируемые zero‑day уязвимости: CVE‑2026‑41091 и CVE‑2026‑45498. CVE‑2026‑41091 позволяет локальному пользователю повысить привилегии до уровня SYSTEM через уязвимость «link‑following» в механизме обработки файлов Defender.
Администраторам рекомендуется срочно обновить платформу Defender и Malware Protection Engine, поскольку их версии обновляются независимо от обновлений Windows.