Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Microsoft ujawnił dwie podatności w Microsoft Defenderze, które są już aktywnie wykorzystywane w rzeczywistych atakach. To szczególnie istotna informacja dla administratorów i zespołów bezpieczeństwa, ponieważ Defender pozostaje jednym z podstawowych mechanizmów ochronnych w środowiskach Windows.
Jedna z luk umożliwia lokalną eskalację uprawnień do poziomu SYSTEM, natomiast druga może zostać wykorzystana do zakłócenia działania ochrony poprzez atak typu denial-of-service. W praktyce oznacza to ryzyko zarówno pełnego przejęcia hosta po wcześniejszym uzyskaniu dostępu, jak i osłabienia warstwy bezpieczeństwa na stacji roboczej lub serwerze.
W skrócie
- W maju 2026 roku ujawniono dwie aktywnie eksploatowane luki: CVE-2026-41091 oraz CVE-2026-45498.
- CVE-2026-41091 dotyczy błędu typu link following i pozwala na lokalne podniesienie uprawnień.
- CVE-2026-45498 wpływa na dostępność Microsoft Defendera i może prowadzić do odmowy usługi.
- Poprawki zostały dostarczone w wersjach silnika 1.1.26040.8 oraz platformy 4.18.26040.7.
- Aktualizacje są dystrybuowane automatycznie przez standardowy mechanizm aktualizacji Microsoft Defender.
Kontekst / historia
Microsoft Defender od lat pełni rolę bazowego mechanizmu ochrony w systemach Windows, dlatego każda luka aktywnie wykorzystywana w tym produkcie ma wysokie znaczenie operacyjne. W tym przypadku producent potwierdził, że obie podatności są używane w środowisku rzeczywistym, choć nie ujawniono szczegółów dotyczących skali kampanii, wektorów ataku ani pełnych łańcuchów exploitacji.
Dodatkowo podatności trafiły do katalogu znanych aktywnie wykorzystywanych luk, co zwykle podnosi ich priorytet w procesach zarządzania podatnościami. Wyznaczenie krótkiego terminu remediacji dla administracji federalnej w USA pokazuje, że zagrożenie zostało ocenione jako pilne i wymagające szybkiej reakcji.
To również kolejny przykład sytuacji, w której napastnicy wykorzystują słabości w narzędziach bezpieczeństwa lub komponentach systemowych, aby zwiększyć skuteczność dalszych etapów ataku. Tego typu incydenty przypominają, że nawet oprogramowanie ochronne samo wymaga stałego monitorowania, aktualizacji i walidacji stanu działania.
Analiza techniczna
CVE-2026-41091 została opisana jako błąd niewłaściwego rozstrzygania odwołań do obiektów przed dostępem do pliku, klasyfikowany jako link following. Tego rodzaju podatności pojawiają się wtedy, gdy uprzywilejowany proces operuje na plikach lub ścieżkach bez wystarczającej walidacji, czy wskazywany obiekt nie został wcześniej podmieniony za pomocą linku symbolicznego, junctionu lub podobnego mechanizmu przekierowania.
Jeżeli komponent Defendera wykonuje operacje z wysokimi uprawnieniami i zaufa nieprawidłowo rozpoznanej ścieżce, atakujący może doprowadzić do wykonania operacji w kontekście SYSTEM. W praktyce taka podatność zwykle nie jest zdalnym punktem wejścia, ale stanowi bardzo cenny element po uzyskaniu początkowego dostępu do hosta, na przykład po phishingu, wykorzystaniu słabego hasła lub uruchomieniu złośliwego kodu przez użytkownika.
CVE-2026-45498 została sklasyfikowana jako luka denial-of-service wpływająca na Defendera. Choć nie daje bezpośrednio wykonania kodu, może zakłócić działanie komponentów ochronnych, ograniczyć skuteczność skanowania albo doprowadzić do niestabilności procesu bezpieczeństwa. Z perspektywy atakującego taka słabość może wspierać kolejne działania, obniżając zdolność systemu do wykrywania i reagowania.
Istotne jest również to, że poprawki nie zostały dostarczone wyłącznie jako klasyczne aktualizacje systemowe, ale poprzez standardowy kanał aktualizacji Microsoft Defender. Oznacza to, że skuteczność remediacji zależy nie tylko od cyklu patch management dla Windows, lecz także od tego, czy urządzenia prawidłowo pobierają aktualizacje silnika, platformy i składników ochronnych.
Konsekwencje / ryzyko
Najpoważniejsze ryzyko wiąże się z CVE-2026-41091. Lokalna eskalacja uprawnień do SYSTEM daje napastnikowi praktycznie pełną kontrolę nad hostem, co może umożliwić wyłączanie zabezpieczeń, kradzież poświadczeń, modyfikację usług systemowych, utrzymywanie trwałości oraz przygotowanie dalszego ruchu bocznego w sieci organizacji.
Druga z luk, CVE-2026-45498, może działać jako podatność wspierająca. Nawet jeśli sama nie prowadzi do przejęcia systemu, osłabienie dostępności lub stabilności rozwiązania ochronnego może zmniejszyć odporność urządzenia podczas innych etapów ataku. To szczególnie niebezpieczne w środowiskach, które zakładają, że natywny mechanizm ochrony działa poprawnie, mimo że jego komponenty są nieaktualne lub częściowo niesprawne.
Dodatkowym czynnikiem podnoszącym poziom ryzyka jest aktywna eksploatacja potwierdzona przez producenta. Taki status oznacza, że skuteczna technika nadużycia istnieje poza laboratorium i może być już wykorzystywana przez cyberprzestępców lub grupy APT. Dla zespołów SOC jest to sygnał do priorytetowego przeglądu telemetrii oraz anomalii wskazujących na lokalne podniesienie uprawnień.
Rekomendacje
Organizacje powinny w pierwszej kolejności zweryfikować, czy wszystkie wspierane systemy Windows korzystają z aktualnych wersji Microsoft Defendera, zwłaszcza silnika 1.1.26040.8 oraz platformy 4.18.26040.7 lub nowszych. Sama aktualność sygnatur nie jest wystarczająca, jeżeli nie zostały zaktualizowane również komponenty odpowiedzialne za działanie silnika i platformy.
- Przeprowadzić inwentaryzację wersji Defendera na stacjach roboczych i serwerach.
- Wymusić ręczne sprawdzenie aktualizacji na urządzeniach, które nie raportują bieżących wersji.
- Zweryfikować, czy Defender oraz mechanizmy automatycznych aktualizacji nie zostały wyłączone.
- Przeanalizować logi pod kątem symptomów lokalnej eskalacji uprawnień.
- Monitorować operacje na plikach i ścieżkach pod kątem nadużyć linków symbolicznych, junctionów i nietypowych przekierowań.
- Zwiększyć priorytet alertów związanych z narzędziami post-exploitation uruchamianymi po uzyskaniu lokalnego dostępu.
W środowiskach o podwyższonych wymaganiach bezpieczeństwa warto dodatkowo ograniczyć możliwość wykorzystywania mechanizmów przekierowania obiektów systemowych przez użytkowników o niskich uprawnieniach. Dobrą praktyką pozostają także segmentacja administracyjna, zasada najmniejszych uprawnień oraz regularne testowanie, czy telemetria EDR skutecznie wykrywa próby eskalacji uprawnień.
Podsumowanie
Dwie nowe podatności w Microsoft Defenderze pokazują, że nawet natywne komponenty ochronne mogą zostać wykorzystane jako element łańcucha ataku. Szczególnie groźna jest CVE-2026-41091, ponieważ umożliwia lokalne podniesienie uprawnień do SYSTEM, podczas gdy CVE-2026-45498 może osłabić dostępność i stabilność ochrony.
Najważniejszym działaniem pozostaje szybka weryfikacja wersji komponentów Defendera oraz potwierdzenie, że wszystkie systemy pobrały odpowiednie poprawki. Równolegle warto przeanalizować telemetrię bezpieczeństwa, aby ustalić, czy w środowisku nie doszło już do prób wykorzystania tych luk.
Źródła
- https://thehackernews.com/2026/05/microsoft-warns-of-two-actively.html
- https://www.microsoft.com/en-us/wdsi/defenderupdates
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41091
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45498
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog