Notebookcheck Logo

Microsoft łata luki w zabezpieczeniach Defendera wykorzystywane w atakach na żywo

Microsoft wydaje awaryjne poprawki do programu Defender dla dwóch aktywnie wykorzystywanych zagrożeń typu zero-day.
ⓘ Microsoft.com
Microsoft wydaje awaryjne poprawki do programu Defender dla dwóch aktywnie wykorzystywanych zagrożeń typu zero-day.
Microsoft wydał pozapasmowe łatki dla dwóch aktywnie wykorzystywanych zero-dayów Defendera, RedSun i UnDefend, po tym jak Huntress potwierdziła ich rzeczywiste wykorzystanie w atakach.
Business Desktop Hack / Data Breach Laptop / Notebook Microsoft Software Windows

W dniu 21 maja 2026 r. Microsoft udostępnił poza pasmem łatki dla dwóch luk zero-day w Windows Defender, które zostały już potwierdzone przez prawdziwe ataki. Badacz Chaotic Eclipse ujawnił obie luki, publicznie znane jako RedSun i UnDefend, bez skoordynowanego ujawnienia. Nie posiadały one CVE ani poprawek, gdy zostały po raz pierwszy ujawnione. Firma Huntress, zajmująca się bezpieczeństwem punktów końcowych, potwierdziła aktywną eksploatację, zanim pojawiły się poprawki.

Co robią te dwa zero-days

Najpoważniejsza z nich, CVE-2026-41091ma ocenę CVSS 7,8 i jest wymierzona w mechanizm Microsoft Malware Protection Engine. Dziura wynika z niewłaściwego rozwiązywania linków przed uzyskaniem dostępu do pliku, co pozwala atakującemu o niskich uprawnieniach manipulować dowiązaniem symbolicznym lub połączeniem katalogów podczas skanowania Defender i eskalować do pełnej kontroli na poziomie SYSTEM. Nie są wymagane żadne podwyższone uprawnienia startowe.

Drugi, CVE-2026-45498ma ocenę CVSS 4.0 i atakuje platformę Microsoft Defender Antimalware Platform. Działa ona jako odmowa usługi przeciwko samemu silnikowi ochrony, po cichu blokując aktualizacje definicji i obniżając zdolność Defendera do wykrywania nowych zagrożeń. Luka dotyczy System Center Endpoint Protection, System Center 2012 R2 i 2012 Endpoint Protection oraz Security Essentials, a także standardowych instalacji Defendera. Żadna z luk nie wywołuje widocznego ostrzeżenia dla użytkownika lub administratora podczas ich wykorzystania.

Co obejmuje łatka i co pozostaje otwarte

Obie luki CVE zostały rozwiązane w Malware Protection Engine w wersji 1.1.26040.8 i Antimalware Platform w wersji 4.18.26040.7. Microsoft dostarcza poprawki automatycznie za pośrednictwem wbudowanego mechanizmu aktualizacji programu Defender. Administratorzy powinni upewnić się, że ich wdrożenia korzystają z tych wersji lub nowszych, szczególnie w środowiskach zarządzanych lub zarządzanych, w których automatyczne aktualizacje mogą być opóźnione.

CISA dodała obie luki do swojego katalogu Known Exploited Vulnerabilities w dniu 20 maja 2026 r., dając federalnym cywilnym agencjom wykonawczym czas do 3 czerwca na potwierdzenie poprawek. Ta sama aktualizacja silnika, która rozwiązuje CVE-2026-41091, usuwa również trzecią lukę, CVE-2026-45584, przepełnienie bufora oparte na stercie z CVSS 8.1, które umożliwia zdalne wykonanie kodu bez interakcji użytkownika. Luka CVE-2026-45584 nie została jeszcze wykorzystana na wolności.

RedSun i UnDefend są czwartym i piątym atakiem typu zero-day wydanym przez Chaotic Eclipse w ciągu ostatnich sześciu tygodni. MiniPlasmaktóry zapewnia dostęp do SYSTEMU na w pełni załatanych komputerach z systemem Windows 11 za pośrednictwem sterownika Cloud Filter, pozostaje niezałatany. Aby uzyskać więcej informacji na temat tego ujawnienia i jego kontekstu w szerszej serii, proszę zapoznać się z naszym wcześniejszym raportem:

Google LogoAdd as a preferred source on Google
Mail Logo

Powiązane artykuły

> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2026 05 > Microsoft łata luki w zabezpieczeniach Defendera wykorzystywane w atakach na żywo
Darryl Linington, 2026-05-22 (Update: 2026-05-22)