Microsoft исправляет "нулевые дыры" в Defender, использовавшиеся в атаках в реальном времени

21 мая 2026 г. компания Microsoft выпустила внеполосные патчи для двух "нулевых дней" Windows Defender, которые уже были подтверждены реальными атаками. Исследователь Chaotic Eclipse раскрыл обе уязвимости, публично известные как RedSun и UnDefend, без согласованного раскрытия. Они не имели CVE и не были исправлены, когда были впервые опубликованы. Компания Huntress, специализирующаяся на защите конечных точек, подтвердила активную эксплуатацию уязвимостей еще до появления исправлений.

Что делают эти два "нулевых дня

Более серьезный из двух, CVE-2026-41091имеет оценку CVSS 7.8 и нацелен на Microsoft Malware Protection Engine. Дефект связан с неправильным разрешением ссылки перед доступом к файлу, что позволяет злоумышленнику с низкими привилегиями манипулировать символической ссылкой или переходом в каталог во время сканирования Defender и получить полный контроль на уровне SYSTEM. Никаких повышенных разрешений на запуск не требуется.

Вторая, CVE-2026-45498имеет рейтинг CVSS 4.0 и нацелен на платформу Microsoft Defender Antimalware Platform. Она функционирует как отказ в обслуживании самого механизма защиты, молчаливо блокируя обновления определений и снижая способность Defender обнаруживать новые угрозы. Дефект затрагивает System Center Endpoint Protection, System Center 2012 R2 и 2012 Endpoint Protection, а также Security Essentials в дополнение к стандартным установкам Defender. Ни одна из уязвимостей не вызывает видимого предупреждения для пользователя или администратора при эксплуатации.

Что закрывает патч и что остается открытым

Оба CVE устранены в Malware Protection Engine версии 1.1.26040.8 и Antimalware Platform версии 4.18.26040.7. Корпорация Microsoft предоставляет исправления автоматически через встроенный механизм обновления Defender. Администраторам следует убедиться, что в их системах установлены эти или более новые версии, особенно в средах с воздушным или управляемым доступом, где автоматические обновления могут задерживаться.

CISA добавила обе уязвимости в свой каталог Known Exploited Vulnerabilities 20 мая 2026 г., предоставив федеральным гражданским исполнительным органам время до 3 июня для подтверждения исправления. То же обновление движка, которое устраняет CVE-2026-41091, также устраняет третий недостаток, CVE-2026-45584, основанное на куче переполнение буфера с CVSS 8.1, которое позволяет удаленное выполнение кода без вмешательства пользователя. Пока что не было подтверждено, что CVE-2026-45584 эксплуатируется в дикой природе.

RedSun и UnDefend - это четвертый и пятый "нулевые дни", выпущенные Chaotic Eclipse за последние шесть недель, и все они направлены на компоненты безопасности Windows. MiniPlasmaкоторый предоставляет доступ к SYSTEM на полностью пропатченных машинах с Windows 11 через драйвер Cloud Filter, остается неисправленным. Подробнее об этом раскрытии и его контексте в более широкой серии см. наш предыдущий отчет: