Злоумышленники используют две уязвимости Microsoft Defender (CVE-2026-41091 и CVE-2026-45498), что признала компания Microsoft, а CISA подтвердила, включив их в свой каталог «Известных уязвимостей, подвергающихся эксплуатации».
Уязвимости
CVE-2026-41091 позволяет осуществить локальное повышение привилегий (LPE) и вызвана некорректным разрешением ссылок модулем Microsoft Malware Protection Engine перед доступом к файлам. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить привилегии SYSTEM, отмечает Microsoft.
Уязвимость CVE-2026-45498 может привести к состоянию отказа в обслуживании (DoS), то есть может быть использована для предотвращения нормальной работы Microsoft Defender.
По словам Microsoft, обе уязвимости были публично раскрыты, и их эксплуатация в реальных условиях уже зафиксирована.
CVE-2026-41091, наряду с третьей уязвимостью Microsoft Defender, позволяющей удаленно выполнить код (CVE-2026-45584), затрагивает Microsoft Malware Protection Engine версии 1.26030.3008 и были устранены в версии v1.1.26040.8.
Уязвимость CVE-2026-45498 затрагивает платформу Microsoft Defender Antimalware Platform — набор бинарных файлов пользовательского режима и драйверов режима ядра, которые работают поверх Windows для защиты устройств от новых и широко распространенных угроз, — и была устранена в версии v4.18.26040.7.
Как для корпоративных развертываний, так и для конечных пользователей конфигурация по умолчанию в антивирусном ПО Microsoft помогает обеспечить автоматическое обновление определений вредоносных программ и модуля Microsoft Malware Protection Engine, отметила компания Microsoft, добавив, что это обновление модуля Malware Protection Engine также включает обновления системы многоуровневой защиты, направленные на улучшение функций безопасности.
То же самое касается платформы Microsoft Defender Antimalware.
Как Protection Engine, так и платформа Antimalware используются не только в Microsoft Defender, но и в Microsoft System Center Endpoint Protection и Microsoft Security Essentials. (Последний может по-прежнему работать на старых, не поддерживаемых версиях Windows, но больше не обновляется.)
Добавив две уязвимости, подвергшиеся эксплуатации, в свой каталог KEV, CISA обязала федеральные гражданские агентства США до 3 июня 2026 года либо установить исправления Microsoft, либо полностью отказаться от использования данного продукта.
Волна эксплойтов «доказательства концепции» (PoC) для Microsoft Defender
3 и 15 апреля сторонний исследователь в области безопасности, известный под ником Nightmare Eclipse, опубликовал эксплойты «доказательства концепции» (PoC) для трёх уязвимостей Microsoft Defender: BlueHammer (уязвимость LPE), RedSun (ещё одна уязвимость LPE) и UnDefend (уязвимость DoS).
Специалисты по реагированию на инциденты из Huntress зафиксировали, что злоумышленник использовал эксплойты BlueHammer, RedSun и UnDefend.
BlueHammer, получивший идентификатор CVE-2026-33825 и исправленный, был добавлен в каталог KEV агентства CISA в конце апреля. Авторами сообщения об этой уязвимости были признаны исследователи Зен Додд и Юаньпэй Сюй.
Microsoft поблагодарила нескольких исследователей за обнаружение уязвимости CVE-2026-41091, но никого — за CVE-2026-45498.
Два дня назад Microsoft опубликовала рекомендации по устранению уязвимости CVE-2026-45585 (также известной как YellowKey) — уязвимости, позволяющей обойти защиту BitLocker, для которой группа Nightmare Eclipse также опубликовала эксплойт PoC.