Microsoft於2026年5月20日發布帶外安全更新,修補兩個Microsoft Defender零日漏洞:CVE‑2026‑41091(權限提升)與CVE‑2026‑45498(阻斷服務),兩者都已被實際攻擊利用。 CVE‑2026‑41091源於Defender處理檔案連結時的「link‑following」問題,可能讓本地攻擊者將權限提升到SYSTEM等級。

Create a landscape editorial hero image for this Studio Global article: What are the newly disclosed Microsoft Defender zero‑day vulnerabilities patched in the May 20 out‑of‑band update (including CVE‑2026‑41091. Article summary: Microsoft’s May 20, 2026 out-of-band Defender update addressed two newly disclosed, actively exploited Defender flaws: CVE-2026-41091, a local privilege-escalation link-following bug, and CVE-2026-45498, a Defender denia. Topic tags: general, government, general web, user generated, education. Reference image context from search candidates: Reference image 1: visual subject ""The May 2026 Patch Tuesday Release breaks a long-standing streak as the first release in nearly two years not to include a zero-day," said Satnam Narang, senior staff research eng" source context "No Zero-Days, but Plenty to Patch in Microsoft May Update" Reference image 2: visual subject "
Microsoft 在 2026年5月20日發布帶外(out‑of‑band)安全更新,修補兩個已在真實攻擊中被利用的 Microsoft Defender 漏洞:CVE‑2026‑41091 與 CVE‑2026‑45498。這兩個漏洞影響 Windows 系統內建的防毒與端點防護機制,並已被納入 CISA 的 Known Exploited Vulnerabilities(KEV) 目錄,代表已有可靠證據顯示攻擊者正在利用它們。
雖然兩個漏洞的技術性質不同——一個可讓攻擊者提升系統權限,另一個則可造成 Defender 防護中斷——但兩者都直接影響企業與個人裝置最重要的安全防線之一。
CVE‑2026‑41091 是 Microsoft Defender 中的一個 link‑following(連結解析)漏洞。問題來自 Defender 在存取檔案之前未正確解析檔案連結,導致它可能被誘導操作錯誤的檔案路徑。
在 Windows 檔案系統中,使用者可以建立符號連結(symbolic link)、junction 或 reparse point。如果 Defender 在高權限操作時跟隨這些連結,攻擊者就可能把操作重新導向到受保護的系統位置。
若成功利用,攻擊者可將權限提升到 SYSTEM 等級——這是 Windows 中最高的本地權限之一,等同完全控制系統。
關鍵資訊:
典型攻擊流程可能包括:
這類漏洞長期以來常被用於 權限提升攻擊鏈(privilege escalation chain),在攻擊者已取得低權限存取後進一步控制整台電腦。
第二個漏洞 CVE‑2026‑45498 會導致 Microsoft Defender 發生阻斷服務(DoS)。目前公開技術文件對細節描述有限,只指出攻擊可造成 Defender 服務中斷。
成功利用後可能導致:
由於 Defender 負責即時端點防護,如果攻擊者能讓它失效,就可能在短時間內 繞過偵測並部署惡意程式。
Microsoft 已確認 兩個漏洞在修補前就已被攻擊者利用,這也是發布緊急更新的主要原因。
多項跡象支持這一點:
不過,截至目前公開資料仍未提供完整的 exploit 程式碼、入侵指標(IoC)或具體受害案例。
這些漏洞主要影響 Microsoft Defender 的平台與惡意程式引擎,因此與 Windows 系統版本的關係較間接。
可能受影響的環境包括:
安全公告指出,以下版本之前的元件存在風險:
值得注意的是,Defender 更新通常與 Windows 系統更新分開發布,因此即使系統已安裝最新 Windows Update,也應確認 Defender 平台與引擎版本是否已更新。
部分研究人員提到,一個被稱為 Nightmare‑Eclipse(又名 Chaotic Eclipse) 的威脅行為者在 2026 年發布多個針對 Windows 與 Defender 的零日漏洞。
該活動被描述為:
然而,目前公開證據 尚未確認 CVE‑2026‑41091 或 CVE‑2026‑45498 與該行動直接相關。現有報導僅顯示它們出現在更廣泛的 Defender 攻擊趨勢中。
對於企業與系統管理員而言,這兩個漏洞應被視為 高優先級修補項目。
建議採取以下措施:
如果無法立即更新,可暫時降低風險:
端點安全工具本身出現漏洞時,風險往往更高。
Microsoft Defender 在 Windows 中具有高度權限並深度整合於系統核心,因此任何檔案處理或服務層面的弱點,都可能讓攻擊者取得強大的控制能力。
這次事件再次提醒企業一個重要安全原則:防禦工具本身也可能成為攻擊面。
對企業 IT 團隊而言,最重要的行動只有一個——立即部署 Defender 平台與引擎更新,縮短漏洞被利用的時間窗口。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Microsoft於2026年5月20日發布帶外安全更新,修補兩個Microsoft Defender零日漏洞:CVE‑2026‑41091(權限提升)與CVE‑2026‑45498(阻斷服務),兩者都已被實際攻擊利用。
Microsoft於2026年5月20日發布帶外安全更新,修補兩個Microsoft Defender零日漏洞:CVE‑2026‑41091(權限提升)與CVE‑2026‑45498(阻斷服務),兩者都已被實際攻擊利用。 CVE‑2026‑41091源於Defender處理檔案連結時的「link‑following」問題,可能讓本地攻擊者將權限提升到SYSTEM等級。
由於Defender平台與惡意程式引擎更新與Windows系統更新分開,企業需確認Defender平台與引擎版本是否已更新到安全版本。