**Microsoft** hat die aktive Ausnutzung einer Schwachstelle zur Rechteausweitung und eines Denial-of-Service-Fehlers in **Defender** offengelegt. ### Rechteausweitung: CVE-2026-41091 Die Schwachstelle zur Rechteausweitung, verfolgt als **CVE-2026-41091**, hat einen CVSS-Score von 7,8. Eine erfolgreiche Ausnutzung könnte es einem Angreifer ermöglichen, SYSTEM-Privilegien zu erlangen. "Unsachgemäße Link-Auflösung vor dem Dateizugriff ('Link-Verfolgung') in **Microsoft Defender** ermöglicht es einem autorisierten Angreifer, lokal die Rechte auszuweiten", erklärte **Microsoft** in seinem Advisory. ### Denial-of-Service: CVE-2026-45498 Die zweite aktiv ausgenutzte Schwachstelle ist **CVE-2026-45498** (CVSS-Score: 4,0), ein Denial-of-Service-Fehler, der **Defender** betrifft. Beide Schwachstellen wurden in den **Microsoft Defender** Antimalware Platform-Versionen 1.1.26040.8 bzw. 4.18.26040.7 gepatcht. ### Überschneidung mit zuvor offengelegten Zero-Days Obwohl nicht offiziell von **Microsoft** bestätigt, stimmen die Beschreibungen von **CVE-2026-41091** und **CVE-2026-45498** mit **RedSun** und **UnDefend** überein, zwei **Defender** Zero-Days, die zuvor von Chaotic Eclipse (auch bekannt als Nightmare-Eclipse) offengelegt wurden. **Huntress** hat ebenfalls die Ausnutzung dieser Schwachstellen beobachtet, zusammen mit **BlueHammer** (CVE-2026-33825). ### Remote Code Execution: CVE-2026-45584 Version 1.1.26040.8 behebt auch **CVE-2026-45584** (CVSS-Score: 8,1), eine Heap-basierte Pufferüberlauf-Schwachstelle in **Defender**. Ein unautorisierter Angreifer könnte dies ausnutzen, um Remote Code Execution zu erreichen, obwohl es derzeit keine Beweise für eine Ausnutzung in freier Wildbahn gibt. ### Minderung und Updates **Microsoft** hat erklärt, dass Systeme mit deaktiviertem **Microsoft Defender** nicht anfällig sind. Der Update-Prozess erfolgt automatisch und gewährleistet optimalen Schutz durch aktualisierte Malware-Definitionen und die **Microsoft** Malware Protection Engine. **Microsoft** dankte fünf Parteien für die Entdeckung und Meldung von **CVE-2026-41091**: Sibusiso, Diffract, Andrew C. Dorman (auch bekannt als ACD421), Damir Moldovanov und ein anonymer Forscher. ### Überprüfung der Update-Installation Um sicherzustellen, dass die neueste Version der **Microsoft** Malware Protection Platform und der Definitions-Updates installiert ist, befolgen Sie diese Schritte: 1. Öffnen Sie das Programm **Windows-Sicherheit**. 2. Wählen Sie im Navigationsbereich **Viren- & Bedrohungsschutz** aus. 3. Klicken Sie im Abschnitt Viren- & Bedrohungsschutz auf **Schutzupdates**. 4. Wählen Sie **Nach Updates suchen**. 5. Wählen Sie im Navigationsbereich **Einstellungen** und dann **Info** aus. 6. Überprüfen Sie die Nummer **Antimalware-Clientversion**. ### CISA fügt Schwachstellen zum KEV-Katalog hinzu Die U.S. **Cybersecurity and Infrastructure Security Agency (CISA)** hat sowohl **CVE-2026-41091** als auch **CVE-2026-45498** in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen. Bundesbehörden der zivilen Exekutive (FCEB) sind verpflichtet, die Korrekturen bis zum 3. Juni 2026 anzuwenden. ### Weitere aktuelle Microsoft-Schwachstellen Diese **Defender**-Schwachstellen sind die jüngsten in einer Reihe von kürzlich offengelegten Microsoft-Schwachstellen. Letzte Woche warnte **Microsoft** vor einer Cross-Site-Scripting-Schwachstelle (CVE-2026-42897, CVSS-Score: 8,1), die On-Premise-Versionen von **Exchange Server** betrifft und aktiv ausgenutzt wurde. ### Zusätzliche Schwachstellen zum KEV-Katalog hinzugefügt Am Mittwoch fügte die **CISA** auch die folgenden älteren **Microsoft**-Schwachstellen zum KEV-Katalog hinzu: * **CVE-2010-0806** - **Microsoft Internet Explorer** Use-after-free-Schwachstelle. * **CVE-2010-0249** - **Microsoft Internet Explorer** Use-after-free-Schwachstelle. * **CVE-2009-1537** - **Microsoft DirectX** NULL-Byte-Überschreibungs-Schwachstelle. * **CVE-2008-4250** - **Microsoft Windows** Server Service Pufferüberlauf-Schwachstelle. Zusätzlich wurde **CVE-2009-3459**, eine Heap-basierte Pufferüberlauf-Schwachstelle in **Adobe Acrobat** und **Reader**, ebenfalls in den KEV-Katalog aufgenommen.