Aktive Ausnutzung kritischer Schwachstellen in Microsoft Defender

Foto des Autors

CyberSecureFox Editorial Team

Microsoft hat die aktive Ausnutzung von zwei Schwachstellen in Microsoft Defender bestätigt: CVE-2026-41091 (Privilegienerweiterung bis zur Stufe SYSTEM, CVSS 7.8) und CVE-2026-45498 (Dienstverweigerung, CVSS 4.0). Die Behörde CISA nahm beide Schwachstellen in den Katalog Known Exploited Vulnerabilities auf und verpflichtete die zivilen US-Bundesbehörden, sie bis zum 3. Juni 2026 zu beheben. Die Patches sind bereits über den automatischen Defender-Aktualisierungsmechanismus verfügbar, Administratoren wird jedoch empfohlen, die installierte Version der Plattform manuell zu überprüfen.

Technische Analyse der Schwachstellen

CVE-2026-41091 — Privilegienerweiterung über symbolische Links

Die gefährlichere der beiden Schwachstellen gehört zur Klasse improper link resolution before file access (fehlerhafte Auflösung von Links vor dem Dateizugriff), auch bekannt als „link following“. Das Problem besteht darin, dass Microsoft Defender bei der Verarbeitung von Dateioperationen symbolische Links nicht korrekt behandelt, was es einem autorisierten lokalen Angreifer ermöglicht, die Operationen der Antiviren-Engine mit SYSTEM-Rechten auf beliebige Dateien oder Verzeichnisse umzuleiten.

Der CVSS-Score von 7.8 spiegelt die hohe Kritikalität wider: Zwar erfordert der Angriff lokalen Zugriff und eine vorherige Authentifizierung, doch führt eine erfolgreiche Ausnutzung zu vollständiger Kontrolle über das System. Schwachstellen der Klasse „link following“ in privilegierten Diensten sind ein gut untersuchter Angriffsvektor, der regelmäßig genutzt wird, um Schutzmechanismen zu umgehen und sich in kompromittierten Systemen dauerhaft festzusetzen.

CVE-2026-45498 — Dienstverweigerung

Die zweite Schwachstelle ermöglicht es, eine Dienstverweigerung der Microsoft-Defender-Komponenten herbeizuführen. Mit einem CVSS-Score von 4.0 wird sie formal als Schwachstelle mittlerer Kritikalität eingestuft, ihre praktische Bedeutung ist jedoch im Kontext von Angriffsketten deutlich höher: Das Ausschalten des Virenschutzes durch eine Dienstverweigerung kann ein vorbereitender Schritt vor dem Ausrollen von Schadsoftware oder der Ausnutzung weiterer Schwachstellen sein.

Die bestätigte aktive Ausnutzung beider Schwachstellen gleichzeitig weist indirekt darauf hin, dass sie möglicherweise in Kombination eingesetzt werden: zunächst Neutralisierung von Defender über CVE-2026-45498, anschließend Privilegienerweiterung über CVE-2026-41091.

Betroffene Versionen und Patches

Laut Microsoft wurden die Schwachstellen in den folgenden Versionen der Microsoft Defender Antimalware Platform behoben:

  • Version 1.1.26040.8 — Fix für CVE-2026-41091
  • Version 4.18.26040.7 — Fix für CVE-2026-45498

Microsoft gibt an, dass die Updates automatisch über den Aktualisierungsmechanismus für Malware-Definitionen und die Microsoft Malware Protection Engine verteilt werden. Systeme, auf denen Microsoft Defender deaktiviert ist, sind von den Schwachstellen nicht betroffen.

Die Entdeckung der Schwachstellen wird fünf unabhängigen Forschern zugeschrieben: Sibusiso, Diffract, Andrew C. Dorman (ACD421), Damir Moldovanov und einem anonymen Forscher. Die Vielzahl der Entdeckungsquellen kann darauf hindeuten, dass die Schwachstelle für erfahrene Forscher hinreichend offensichtlich war und daher mit hoher Wahrscheinlichkeit auch Angreifern bereits vor der Offenlegung bekannt war.

Bewertung der Auswirkungen

Microsoft Defender ist die standardmäßige Antivirenlösung auf allen Windows-10- und Windows-11-Systemen, was die potenzielle Angriffsfläche außerordentlich groß macht. Die Schwachstelle CVE-2026-41091 stellt eine besondere Bedrohung für Unternehmensumgebungen dar: Das Erlangen von SYSTEM-Rechten auf einer Domänen-Workstation eröffnet den Weg zu lateraler Bewegung, dem Abgreifen von Anmeldeinformationen und der Kompromittierung von Domänencontrollern.

Konkrete Details zur Ausnutzung in realen Angriffen wurden bislang weder von Microsoft noch von CISA offengelegt. Das Fehlen öffentlicher Indikatoren für eine Kompromittierung erschwert die rückblickende Analyse, doch allein die Aufnahme in den KEV-Katalog bestätigt das Vorliegen belastbarer Hinweise auf eine Ausnutzung.

Bemerkenswert ist, dass dies bereits die dritte Microsoft-Schwachstelle ist, die innerhalb der vergangenen Woche den Status „aktiv ausgenutzt“ erhalten hat – zuvor war über die Ausnutzung einer XSS-Schwachstelle in lokalen Versionen von Exchange Server berichtet worden.

Kontext der Aktualisierung des CISA-KEV-Katalogs

Zusätzlich zu den beiden Defender-Schwachstellen hat CISA gleichzeitig vier historische Microsoft-Schwachstellen aus den Jahren 2008–2010 und eine Adobe-Schwachstelle in den KEV-Katalog aufgenommen:

  • CVE-2010-0806 — use-after-free in Internet Explorer, Ausführung von Code aus der Ferne
  • CVE-2010-0249 — use-after-free in Internet Explorer, Ausführung von Code aus der Ferne
  • CVE-2009-1537 — Überschreiben eines NULL-Bytes in DirectX/DirectShow (quartz.dll), Codeausführung über eine QuickTime-Datei
  • CVE-2008-4250 — Buffer Overflow im Windows Server Service, Codeausführung über eine RPC-Anfrage
  • CVE-2009-3459 — Heap Overflow in Adobe Acrobat und Reader, Codeausführung über ein PDF

Die Aufnahme von bis zu 15 Jahre alten Schwachstellen in den KEV-Katalog ist ein untypischer Schritt, der in der Regel darauf hindeutet, dass ihre Nutzung in aktuellen Angriffen festgestellt wurde – unter anderem gegen veraltete Systeme in kritischen Infrastrukturen oder Industrieumgebungen, in denen Software-Updates nur schwer umzusetzen sind.

Praktische Empfehlungen

Zur Überprüfung der aktuellen Microsoft-Defender-Version und zur Bestätigung, dass die Patches installiert wurden:

  1. Öffnen Sie die App Windows Security (Windows-Sicherheit)
  2. Wechseln Sie zum Bereich Virus & threat protection (Schutz vor Viren & Bedrohungen)
  3. Klicken Sie auf Protection Updates (Schutzupdates)
  4. Wählen Sie Check for updates (Nach Updates suchen)
  5. Gehen Sie zu Settings → About (Einstellungen → Info)
  6. Stellen Sie sicher, dass die Antimalware Client Version den Versionen 1.1.26040.8 oder 4.18.26040.7 und höher entspricht

Für Unternehmensumgebungen mit zentralisiertem Update-Management über WSUS, SCCM oder Intune muss sichergestellt werden, dass Richtlinien die automatische Aktualisierung der Defender-Komponenten nicht blockieren. Organisationen, die Drittanbieter-Antivirenlösungen mit deaktiviertem Defender einsetzen, sind von diesen Schwachstellen nicht betroffen; dennoch wird empfohlen, den tatsächlichen Status des Dienstes auf allen Endpunkten zu verifizieren.

Angesichts der bestätigten aktiven Ausnutzung und der von CISA gesetzten Frist bis zum 3. Juni 2026 sollte die Behebung von CVE-2026-41091 als kritisch priorisiert werden – mit einer umgehenden Prüfung und Aktualisierung aller Systeme mit aktivem Microsoft Defender, wobei Server und Workstations mit Zugang zu sensiblen Daten oder privilegierten Konten besondere Aufmerksamkeit erhalten sollten.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen