Microsoft heeft onthuld dat een privilege-escalatie en een denial-of-service-fout in Defender actief in het wild zijn uitgebuit.
De eerste, bijgehouden als CVE-2026-41091krijgt een 7,8 op het CVSS-scoresysteem. Succesvol misbruik van de fout kan een aanvaller in staat stellen SYSTEEMrechten te verwerven.
“Onjuiste verbindingsresolutie vóór toegang tot bestanden (‘link volgen’) in Microsoft Defender zorgt ervoor dat een geautoriseerde aanvaller de rechten lokaal kan verhogen”, aldus Microsoft in een advies.
De tweede kwetsbaarheid die wordt misbruikt is CVE-2026-45498 (CVSS-score: 4,0), een denial-of-service-bug die gevolgen heeft voor Defender. De twee kwetsbaarheden zijn verholpen in respectievelijk Microsoft Defender Antimalware Platform-versies 1.1.26040.8 en 4.18.26040.7.
De technologiegigant merkte op dat systemen die Microsoft Defender hebben uitgeschakeld niet vatbaar zijn voor het beveiligingslek, en voegde eraan toe dat er geen actie nodig is om de update te installeren, omdat deze automatisch de malwaredefinities en de Microsoft Malware Protection Engine bijwerkt voor optimale bescherming.
Microsoft heeft vijf verschillende partijen gecrediteerd voor het ontdekken en rapporteren van de fout, waaronder Sibusiso, Diffract, Andrew C. Dorman (ook bekend als ACD421), Damir Moldovanov en een anonieme onderzoeker.
Om ervoor te zorgen dat de nieuwste versie van het Microsoft Malware Protection Platform en definitie-updates actief worden gedownload en geïnstalleerd, wordt gebruikers aangeraden de onderstaande stappen te volgen:
- Open de Windows-beveiliging programma.
- Selecteer in het navigatievenster Bescherming tegen virussen en bedreigingen.
- Klik dan op Beveiligingsupdates in de sectie Virus- en bedreigingsbeveiliging, updates.
- Selecteer Controleer op updates.
- Selecteer in het navigatievenster Instellingenen selecteer vervolgens Over.
- Onderzoek de Antimalware clientversie nummer.
Er zijn momenteel geen details over hoe de kwetsbaarheden in het wild worden uitgebuit. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft ze beide toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen de oplossingen vóór 3 juni 2026 moeten toepassen.
Met de nieuwste ontwikkeling zijn in een tijdsbestek van een week in totaal drie Microsoft-kwetsbaarheden gemarkeerd als misbruikt. Vorige week onthulde Redmond dat een cross-site scriptingfout die van invloed was op lokale versies van Exchange Server (CVE-2026-42897, CVSS-score: 8.1) was ingezet bij aanvallen in de echte wereld.
Ook toegevoegd aan de KEV-catalogus op woensdag zijn vier andere Microsoft-fouten uit 2008, 2009 en 2010 –
- CVE-2010-0806 – Microsoft Internet Explorer bevat een ‘use-after-free’-kwetsbaarheid waardoor aanvallers op afstand willekeurige code kunnen uitvoeren.
- CVE-2010-0249 – Microsoft Internet Explorer bevat een ‘use-after-free’-kwetsbaarheid waardoor aanvallers op afstand willekeurige code kunnen uitvoeren.
- CVE-2009-1537 – Microsoft DirectX bevat een kwetsbaarheid voor het overschrijven van NULL-bytes in het QuickTime Movie Parser Filter in quartz.dll in DirectShow, waardoor aanvallers op afstand willekeurige code kunnen uitvoeren via een vervaardigd QuickTime-mediabestand.
- CVE-2008-4250 – Microsoft Windows bevat een bufferoverloopkwetsbaarheid in de Windows Server Service waardoor aanvallers op afstand willekeurige code kunnen uitvoeren via een vervaardigd RPC-verzoek.
Een andere kwetsbaarheid die in de lijst wordt vermeld, is CVE-2009-3459een heap-gebaseerde bufferoverflow-kwetsbaarheid in Adobe Acrobat en Reader waardoor aanvallers op afstand willekeurige code kunnen uitvoeren via een vervaardigd PDF-bestand dat geheugenbeschadiging veroorzaakt.
