Microsoft підтвердила активну експлуатацію двох вразливостей у Microsoft Defender: CVE-2026-41091 (підвищення привілеїв до рівня SYSTEM, CVSS 7.8) і CVE-2026-45498 (відмова в обслуговуванні, CVSS 4.0). Агентство CISA внесло обидві вразливості до каталогу Known Exploited Vulnerabilities та зобов’язало федеральні цивільні агентства США усунути їх до 3 червня 2026 року. Виправлення вже доступні через механізм автоматичного оновлення Defender, однак адміністраторам рекомендується вручну перевірити встановлену версію платформи.

Технічний аналіз вразливостей

CVE-2026-41091 — підвищення привілеїв через символьні посилання

Найнебезпечніша з двох вразливостей належить до класу improper link resolution before file access (некоректне розв’язання посилань перед доступом до файлу), також відомого як «link following». Суть проблеми полягає в тому, що Microsoft Defender під час обробки файлових операцій некоректно обробляє символьні посилання, що дає змогу автентифікованому локальному зловмиснику перенаправити операції антивірусного рушія на довільні файли або каталоги з привілеями SYSTEM.

Оцінка CVSS 7.8 відображає високу критичність: хоча атака потребує локального доступу та попередньої автентифікації, результатом успішної експлуатації стає повний контроль над системою. Вразливості класу «link following» у привілейованих сервісах — добре вивчений вектор атаки, який регулярно використовують для обходу механізмів захисту та закріплення у скомпрометованих системах.

CVE-2026-45498 — відмова в обслуговуванні

Друга вразливість дає змогу спричинити відмову в обслуговуванні компонентів Microsoft Defender. За оцінкою CVSS 4.0 вона формально класифікується як вразливість середньої критичності, однак її практичне значення суттєво вище в контексті ланцюжків атак: вимкнення антивірусного захисту через відмову в обслуговуванні може бути підготовчим етапом перед розгортанням зловмисного програмного забезпечення або експлуатацією інших вразливостей.

Підтверджений факт активної експлуатації обох вразливостей одночасно опосередковано вказує на можливе використання їх у зв’язці: спочатку нейтралізація Defender через CVE-2026-45498, потім підвищення привілеїв через CVE-2026-41091.

Уражені версії та виправлення

За даними Microsoft, вразливості усунуті в таких версіях платформи Microsoft Defender Antimalware Platform:

• Версія 1.1.26040.8 — виправлення для CVE-2026-41091
• Версія 4.18.26040.7 — виправлення для CVE-2026-45498

Microsoft зазначає, що оновлення поширюються автоматично через механізм оновлення визначень зловмисного ПЗ та рушія Microsoft Malware Protection Engine. Системи, на яких Microsoft Defender вимкнено, не є вразливими.

Виявлення вразливостей приписують п’ятьом незалежним дослідникам: Sibusiso, Diffract, Andrew C. Dorman (ACD421), Damir Moldovanov і анонімному досліднику. Множинність джерел виявлення може свідчити про те, що вразливість була достатньо очевидною для досвідчених дослідників, а відтак імовірно була відома й зловмисникам до моменту розкриття.

Оцінка впливу

Microsoft Defender є антивірусним рішенням за замовчуванням на всіх системах Windows 10 та Windows 11, що робить потенційну поверхню атаки виключно широкою. Вразливість CVE-2026-41091 становить особливу загрозу для корпоративних середовищ: отримання привілеїв SYSTEM на робочій станції домену відкриває шлях до латерального переміщення, добування облікових даних та компрометації контролерів домену.

Конкретні деталі експлуатації в реальних атаках наразі не розкриті ні Microsoft, ні CISA. Відсутність публічних індикаторів компрометації ускладнює ретроспективний аналіз, однак сам факт включення до каталогу KEV підтверджує наявність достовірних свідчень експлуатації.

Варто зазначити, що це вже третя вразливість Microsoft, яка отримала статус такої, що активно експлуатується, за останній тиждень — раніше повідомлялося про експлуатацію XSS-вразливості в локальних версіях Exchange Server.

Контекст оновлення каталогу CISA KEV

Окрім двох вразливостей Defender, CISA одночасно додала до каталогу KEV чотири історичні вразливості Microsoft 2008–2010 років і одну вразливість Adobe:

• CVE-2010-0806 — use-after-free в Internet Explorer, віддалене виконання коду
• CVE-2010-0249 — use-after-free в Internet Explorer, віддалене виконання коду
• CVE-2009-1537 — перезапис NULL-байта в DirectX/DirectShow (quartz.dll), виконання коду через QuickTime-файл
• CVE-2008-4250 — переповнення буфера в Windows Server Service, виконання коду через RPC-запит
• CVE-2009-3459 — переповнення купи в Adobe Acrobat і Reader, виконання коду через PDF

Додавання вразливостей 15-річної давнини до каталогу KEV — нетиповий крок, який зазвичай свідчить про виявлення їх використання в поточних атаках, зокрема проти застарілих систем у критичній інфраструктурі або промислових середовищах, де оновлення ПЗ утруднене.

Практичні рекомендації

Щоб перевірити поточну версію Microsoft Defender і підтвердити встановлення виправлень:

1. Відкрийте застосунок Windows Security (Безпека Windows)
2. Перейдіть до розділу Virus & threat protection (Захист від вірусів та загроз)
3. Натисніть Protection Updates (Оновлення захисту)
4. Виберіть Check for updates (Перевірити наявність оновлень)
5. Перейдіть до Settings → About (Параметри → Відомості про програму)
6. Переконайтеся, що Antimalware Client Version відповідає версіям 1.1.26040.8 або 4.18.26040.7 і вище

Для корпоративних середовищ із централізованим керуванням оновленнями через WSUS, SCCM або Intune необхідно переконатися, що політики не блокують автоматичне оновлення компонентів Defender. Організаціям, які використовують сторонні антивірусні рішення з вимкненим Defender, ці вразливості не загрожують, однак рекомендується верифікувати фактичний стан служби на всіх кінцевих точках.

З огляду на підтверджену активну експлуатацію та дедлайн CISA 3 червня 2026 року, пріоритет усунення CVE-2026-41091 слід визначити як критичний — негайна перевірка й оновлення всіх систем з активним Microsoft Defender з особливою увагою до серверів і робочих станцій з доступом до чутливих даних або привілейованих облікових записів.