微软紧急修补Defender零日漏洞：CVE‑2026‑41091与CVE‑2026‑45498

此类漏洞常见的利用方式包括：

• 创建恶意 符号链接（symlink）或 reparse point
• 诱使 Defender 执行文件扫描或处理
• 将操作重定向到受保护的系统文件

虽然官方公告没有公开完整利用代码，但这种漏洞类型在 Windows 权限提升攻击链中非常常见。

CVE‑2026‑45498：Microsoft Defender 拒绝服务漏洞

第二个漏洞 CVE‑2026‑45498 会导致 Microsoft Defender 出现拒绝服务（DoS） 状态。公开资料仅描述为一个未详细说明的漏洞，可导致 Defender 组件发生服务中断。

如果攻击成功，可能产生以下影响：

• Defender 服务崩溃
• 恶意软件扫描被中断
• 实时防护暂时失效

由于 Defender 是 Windows 的实时终端安全组件，一旦被干扰，就可能为恶意程序或入侵后的横向活动提供短暂但关键的“无监控窗口”。

目前公开资料尚未披露具体利用方式或触发条件。

现实攻击已经出现的证据

微软确认这两个漏洞在补丁发布前已经被攻击者利用，这也是此次紧急更新发布的重要原因之一。

已有的证据包括：

• 两个漏洞都被加入 CISA KEV 目录，该目录只收录已被利用的漏洞。
• 安全媒体报道称微软已确认漏洞在真实攻击中被利用。
• 多个漏洞跟踪数据库将其标记为 actively exploited（正在被利用）。

不过，截至披露时，公开资料仍未提供：

• 具体攻击样本
• 入侵指标（IOC）
• 已确认受害组织的统计

受影响系统：与 Defender 版本有关

这两个漏洞主要影响 Microsoft Defender 的组件版本，而不是某个特定 Windows 系统版本。

因此可能受影响的环境包括：

• Windows 11 终端
• Windows Server 环境
• 使用 Microsoft Malware Protection Engine 的企业设备

公告指出，存在风险的版本包括：

• Malware Protection Engine 早于 1.1.26040.8 的版本
• Defender 平台版本早于 4.18.26040.7 的版本

需要注意的是：Defender 的平台与引擎更新可以独立于 Windows 更新发布，因此仅仅安装 Windows 累积更新并不一定已经修复漏洞。管理员应检查 Defender 组件版本。

与“Nightmare‑Eclipse”攻击活动的关系

一些安全研究人员提到，近期存在一系列针对微软安全组件的漏洞发布活动，与一个被称为 Nightmare‑Eclipse（又名 Chaotic Eclipse） 的攻击者有关。

研究报告称，该攻击者在 2026 年初连续公开多个 Windows 或 Defender 相关的零日漏洞，部分事件被认为与其与微软漏洞披露流程的争议有关。

不过，目前公开证据尚未证明 CVE‑2026‑41091 或 CVE‑2026‑45498 与该行动存在直接关联。它们更可能只是近期针对 Defender 漏洞活动增多的整体趋势中的一部分。

建议的缓解与防御措施

对于运行 Windows 和 Microsoft Defender 的组织来说，这两个漏洞应被视为优先级较高的补丁任务。

建议措施包括：

• 立即安装 5月20日发布的 Defender 平台和引擎更新。
• 在所有终端上核实 Defender 组件版本，而不仅仅检查 Windows 更新状态。
• 优先修补以下环境：
  • 多用户系统
  • 服务器
  • VDI 环境
  • 开发人员工作站
• 监控 Defender 异常行为，例如服务崩溃或频繁重启。
• 检查用户可写目录中是否存在异常 符号链接或 reparse point。

如果短时间内无法完成更新，可以通过以下方式降低风险：

• 限制本地登录访问
• 减少普通用户权限
• 持续监控 Defender 的防护状态

为什么 Defender 漏洞风险更高

终端安全软件本身一旦出现漏洞，风险往往更大。

Microsoft Defender 在系统中拥有较高权限，并且与 Windows 深度集成。如果攻击者能够利用其文件处理逻辑或服务组件中的漏洞，就可能把一个普通用户权限的访问点，迅速升级为对整个系统的控制。

这次 5 月 20 日的紧急补丁再次提醒一个事实：安全工具本身也可能成为攻击面。对于企业 IT 团队来说，快速部署 Defender 更新、持续监控终端安全状态，仍然是最关键的防御措施。