Notebookcheck Logo

Microsoft patchar noll-dygn i Defender som utnyttjats i live-attacker

Microsoft utfärdar nödpatchar för Defender för två aktivt utnyttjade zero-days.
ⓘ Microsoft.com
Microsoft utfärdar nödpatchar för Defender för två aktivt utnyttjade zero-days.
Microsoft utfärdade out-of-band patchar för två aktivt utnyttjade Defender zero-days, RedSun och UnDefend, efter att Huntress bekräftat verklig användning i attacker.
Business Desktop Hack / Data Breach Laptop / Notebook Microsoft Software Windows

Den 21 maj 2026 skickade Microsoft ut out-of-band patchar för två Windows Defender zero-days som riktiga attacker redan hade bekräftat. Forskaren Chaotic Eclipse avslöjade båda sårbarheterna, allmänt kända som RedSun och UnDefend, utan samordnat avslöjande. De hade inga CVE: er och inga korrigeringar när de först släpptes. Endpoint-säkerhetsföretaget Huntress bekräftade aktivt utnyttjande innan korrigeringarna existerade.

Vad de två nolldagarna gör

Den allvarligaste av de två, CVE-2026-41091har en CVSS-poäng på 7,8 och riktar sig till Microsoft Malware Protection Engine. Felet härrör från en felaktig länkupplösning före filåtkomst, vilket gör att en lågprivilegierad angripare kan manipulera en symbolisk länk eller katalogkorsning under en Defender-sökning och eskalera till full kontroll på SYSTEM-nivå. Inga förhöjda startbehörigheter krävs.

Den andra, CVE-2026-45498är klassad CVSS 4.0 och riktar sig till Microsoft Defender Antimalware Platform. Den fungerar som en överbelastningsattack mot själva skyddsmotorn, blockerar definitionsuppdateringar och försämrar Defenders förmåga att upptäcka nya hot. Felet påverkar System Center Endpoint Protection, System Center 2012 R2 och 2012 Endpoint Protection samt Security Essentials utöver standardinstallationer av Defender. Ingen av sårbarheterna utlöser en synlig varning till användaren eller administratören när de utnyttjas.

Vad patchen täcker och vad som förblir öppet

Båda CVE:erna är åtgärdade i Malware Protection Engine version 1.1.26040.8 och Antimalware Platform version 4.18.26040.7. Microsoft levererar korrigeringarna automatiskt via Defenders inbyggda uppdateringsmekanism. Administratörer bör bekräfta att deras distributioner kör dessa versioner eller nyare, särskilt i luftgapade eller hanterade miljöer där automatiska uppdateringar kan försenas.

CISA lade till båda sårbarheterna i sin katalog Known Exploited Vulnerabilities katalog den 20 maj 2026, vilket ger Federal Civilian Executive Branch-organ fram till 3 juni för att bekräfta patchning. Samma motoruppdatering som åtgärdar CVE-2026-41091 åtgärdar också ett tredje fel, CVE-2026-45584, ett heap-baserat buffertöverflöd med CVSS 8,1 som möjliggör fjärrkörning av kod utan användarinteraktion. CVE-2026-45584 har ännu inte bekräftats ha utnyttjats i det vilda.

RedSun och UnDefend är de fjärde och femte nolldagarna som släppts av Chaotic Eclipse under de senaste sex veckorna, alla inriktade på Windows säkerhetskomponenter. MiniPlasmasom ger SYSTEM-åtkomst på helt patchade Windows 11-maskiner via Cloud Filter-drivrutinen, är fortfarande opatchad. För mer information om detta avslöjande och dess sammanhang inom den bredare serien, se vår tidigare rapport:

Google LogoAdd as a preferred source on Google
Mail Logo

Relaterade artiklar

> Bärbara datorer, laptops - tester och nyheter > Nyheter > Nyhetsarkiv > Nyhetsarkiv 2026 05 > Microsoft patchar noll-dygn i Defender som utnyttjats i live-attacker
Darryl Linington, 2026-05-22 (Update: 2026-05-22)