Microsoft подтвердила активную эксплуатацию двух уязвимостей в Microsoft Defender: CVE-2026-41091 (повышение привилегий до уровня SYSTEM, CVSS 7.8) и CVE-2026-45498 (отказ в обслуживании, CVSS 4.0). Агентство CISA внесло обе уязвимости в каталог Known Exploited Vulnerabilities и обязало федеральные гражданские агентства США устранить их до 3 июня 2026 года. Исправления уже доступны через механизм автоматического обновления Defender, однако администраторам рекомендуется вручную проверить установленную версию платформы.

Технический анализ уязвимостей

CVE-2026-41091 — повышение привилегий через символьные ссылки

Наиболее опасная из двух уязвимостей относится к классу improper link resolution before file access (некорректное разрешение ссылок перед доступом к файлу), также известному как «link following». Суть проблемы в том, что Microsoft Defender при обработке файловых операций некорректно обрабатывает символьные ссылки, что позволяет авторизованному локальному атакующему перенаправить операции антивирусного движка на произвольные файлы или каталоги с привилегиями SYSTEM.

Оценка CVSS 7.8 отражает высокую критичность: хотя атака требует локального доступа и предварительной аутентификации, результатом успешной эксплуатации становится полный контроль над системой. Уязвимости класса «link following» в привилегированных сервисах — хорошо изученный вектор атаки, который регулярно используется для обхода механизмов защиты и закрепления в скомпрометированных системах.

CVE-2026-45498 — отказ в обслуживании

Вторая уязвимость позволяет вызвать отказ в обслуживании компонентов Microsoft Defender. При оценке CVSS 4.0 она формально классифицируется как уязвимость средней критичности, однако её практическое значение существенно выше в контексте цепочек атак: отключение антивирусной защиты через отказ в обслуживании может быть подготовительным этапом перед развёртыванием вредоносного ПО или эксплуатацией других уязвимостей.

Подтверждённый факт активной эксплуатации обеих уязвимостей одновременно косвенно указывает на возможное использование их в связке: сначала нейтрализация Defender через CVE-2026-45498, затем повышение привилегий через CVE-2026-41091.

Затронутые версии и исправления

По данным Microsoft, уязвимости устранены в следующих версиях платформы Microsoft Defender Antimalware Platform:

• Версия 1.1.26040.8 — исправление для CVE-2026-41091
• Версия 4.18.26040.7 — исправление для CVE-2026-45498

Microsoft указывает, что обновления распространяются автоматически через механизм обновления определений вредоносного ПО и движка Microsoft Malware Protection Engine. Системы, на которых Microsoft Defender отключён, уязвимости не подвержены.

Обнаружение уязвимостей приписывается пяти независимым исследователям: Sibusiso, Diffract, Andrew C. Dorman (ACD421), Damir Moldovanov и анонимному исследователю. Множественность источников обнаружения может свидетельствовать о том, что уязвимость была достаточно очевидна для опытных исследователей, а значит, вероятно, была известна и злоумышленникам до момента раскрытия.

Оценка воздействия

Microsoft Defender является антивирусным решением по умолчанию на всех системах Windows 10 и Windows 11, что делает потенциальную поверхность атаки исключительно широкой. Уязвимость CVE-2026-41091 представляет особую угрозу для корпоративных сред: получение привилегий SYSTEM на рабочей станции домена открывает путь к латеральному перемещению, извлечению учётных данных и компрометации контроллеров домена.

Конкретные детали эксплуатации в реальных атаках на данный момент не раскрыты ни Microsoft, ни CISA. Отсутствие публичных индикаторов компрометации затрудняет ретроспективный анализ, однако сам факт включения в каталог KEV подтверждает наличие достоверных свидетельств эксплуатации.

Стоит отметить, что это уже третья уязвимость Microsoft, получившая статус активно эксплуатируемой за последнюю неделю — ранее сообщалось об эксплуатации XSS-уязвимости в локальных версиях Exchange Server.

Контекст обновления каталога CISA KEV

Помимо двух уязвимостей Defender, CISA одновременно добавила в каталог KEV четыре исторические уязвимости Microsoft 2008–2010 годов и одну уязвимость Adobe:

• CVE-2010-0806 — use-after-free в Internet Explorer, удалённое выполнение кода
• CVE-2010-0249 — use-after-free в Internet Explorer, удалённое выполнение кода
• CVE-2009-1537 — перезапись NULL-байта в DirectX/DirectShow (quartz.dll), выполнение кода через QuickTime-файл
• CVE-2008-4250 — переполнение буфера в Windows Server Service, выполнение кода через RPC-запрос
• CVE-2009-3459 — переполнение кучи в Adobe Acrobat и Reader, выполнение кода через PDF

Добавление уязвимостей 15-летней давности в каталог KEV — нетипичный шаг, который обычно свидетельствует о выявлении их использования в текущих атаках, в том числе против устаревших систем в критической инфраструктуре или промышленных средах, где обновление ПО затруднено.

Практические рекомендации

Для проверки текущей версии Microsoft Defender и подтверждения установки исправлений:

1. Откройте приложение Windows Security (Безопасность Windows)
2. Перейдите в раздел Virus & threat protection (Защита от вирусов и угроз)
3. Нажмите Protection Updates (Обновления защиты)
4. Выберите Check for updates (Проверить наличие обновлений)
5. Перейдите в Settings → About (Параметры → О программе)
6. Убедитесь, что Antimalware Client Version соответствует версиям 1.1.26040.8 или 4.18.26040.7 и выше

Для корпоративных сред с централизованным управлением обновлениями через WSUS, SCCM или Intune необходимо убедиться, что политики не блокируют автоматическое обновление компонентов Defender. Организациям, использующие сторонние антивирусные решения с отключённым Defender, данные уязвимости не угрожают, однако рекомендуется верифицировать фактическое состояние службы на всех конечных точках.

Учитывая подтверждённую активную эксплуатацию и дедлайн CISA 3 июня 2026 года, приоритет устранения CVE-2026-41091 следует установить как критический — немедленная проверка и обновление всех систем с активным Microsoft Defender, с особым вниманием к серверам и рабочим станциям с доступом к чувствительным данным или привилегированным учётным записям.