Компанията потвърди активна експлоатация на две критични уязвимости в Microsoft Defender, позволяващи privilege escalation и denial-of-service атаки срещу Windows системи.

Microsoft започна разпространението на извънредни защитни обновления за две zero-day уязвимости в Microsoft Defender, които вече се използват активно в атаки.

Проблемите засягат както Microsoft Malware Protection Engine, така и Microsoft Defender Antimalware Platform – ключови компоненти на защитната екосистема на Windows.

CVE-2026-41091 позволява получаване на SYSTEM права

Първата уязвимост – CVE-2026-41091 – представлява flaw за privilege escalation, засягащ Microsoft Malware Protection Engine версии 1.1.26030.3008 и по-стари.

Според Microsoft проблемът произтича от неправилна обработка на symbolic links и file access операции – weakness от типа неправилно разрешаване на връзката преди достъп до файла.

Успешната експлоатация позволява на атакуващите да получат SYSTEM привилегии – най-високото ниво на достъп в Windows.

Това означава, че компрометирана система може да бъде напълно овладяна, включително:

• изпълнение на код с пълни административни права;
• деактивиране на защитни механизми;
• инсталиране на malware;
• създаване на persistence;
• кражба на чувствителни данни.

Втората zero-day уязвимост води до отказ на услуги

Втората уязвимост – CVE-2026-45498 – засяга Microsoft Defender Antimalware Platform версии 4.18.26030.3011 и по-стари.

Тя позволява на атакуващите да предизвикат denial-of-service (DoS) състояния върху непачнати Windows устройства.

Засегнати са и продукти като:

• System Center Endpoint Protection
• Security Essentials
• System Center 2012 Endpoint Protection;
• System Center 2012 R2 Endpoint Protection.

CISA издаде спешна директива към федералните агенции

CISA вече добави двете уязвимости към каталога Known Exploited Vulnerabilities (KEV), потвърждавайки, че уязвимостите се използват в реални атаки.

Американската агенция е наредила на федералните институции да защитят всички засегнати Windows системи до 3 юни съгласно Binding Operational Directive 22-01.

Според CISA подобни уязвимости са сред най-често използваните входни точки от киберпрестъпни и държавно подкрепяни групи.

Microsoft: обновленията трябва да се инсталират автоматично

Microsoft е публикувала следните защитени версии:

• Malware Protection Engine 1.1.26040.8;
• Defender Antimalware Platform 4.18.26040.7.

Компанията твърди, че повечето потребители не трябва да предприемат ръчни действия, тъй като Windows Defender по подразбиране инсталира автоматично malware definitions и platform updates.

Въпреки това Microsoft препоръчва администраторите да проверят ръчно дали обновленията са приложени успешно чрез Windows Security -> Virus & Threat Protection -> Protection Updates.

Нови проблеми за Defender след BitLocker zero-day

Случаят идва само ден след като Microsoft публикува смекчавания за YellowKey – друга опасна Windows zero-day уязвимост, позволяваща достъп до BitLocker-защитени устройства.

Поредицата от публично разкрити уязвимости поставя под сериозен натиск защитната екосистема на Windows, особено в контекста на активните атаки срещу корпоративни среди и критична инфраструктура.

За организациите това е още едно напомняне, че автоматичните обновления, мониторингът на endpoint защита и бързото patch management вече са критично важни за ограничаване на риска от компрометиране.