В середине мая корпорация Microsoft официально подтвердила существование двух новых уязвимостей нулевого дня в собственном антивирусном продукте Microsoft Defender. Обе проблемы уже используются злоумышленниками в реальных атаках. Это заставляет специалистов по информационной безопасности пересмотреть риски, связанные с доверием к самому защитному программному обеспечению.
Детали уязвимостей
Первый и наиболее опасный дефект получил идентификатор CVE-2026-41091. Речь идёт об уязвимости повышения привилегий. Её рейтинг по шкале CVSS (общая система оценки уязвимостей) составляет 7,8 балла из десяти. Корень проблемы кроется в неправильной обработке ссылок перед доступом к файлам. Иными словами, система некорректно разрешает символические ссылки, что позволяет атакующему обойти ограничения.
Для эксплуатации этой уязвимости злоумышленнику достаточно иметь низкий уровень привилегий на целевой системе. При этом никакого взаимодействия с пользователем не требуется. Сложность атаки оценивается как низкая. В результате нарушитель получает возможность поднять свои права до высокого уровня. Это ставит под угрозу конфиденциальность, целостность и доступность всех данных на скомпрометированном устройстве.
Microsoft уже обнаружила признаки активной эксплуатации CVE-2026-41091 в дикой природе. В официальном бюллетене указано, что зрелость кода эксплойта пока не подтверждена. Тем не менее факты реальных атак уже зафиксированы. Это означает, что организации должны немедленно применить исправления.
Вторая уязвимость - CVE-2026-45498. Она относится к категории отказов в обслуживании. Её рейтинг CVSS составляет всего 4,0 балла. Тем не менее эта проблема тоже активно эксплуатируется хакерами. Атака позволяет нарушить стабильность работы Microsoft Defender без каких-либо привилегий и без участия пользователя. Система может стать полностью неотзывчивой или начать работать с перебоями.
Хотя отказ в обслуживании напрямую не угрожает конфиденциальности или целостности данных, он создаёт серьёзную операционную угрозу. Прекращение работы защитного механизма открывает путь для других атак. Кроме того, сбой в работе антивируса затрудняет реагирование на инциденты.
Обе уязвимости объединяет несколько опасных характеристик. Во-первых, они не требуют взаимодействия с пользователем. Во-вторых, сложность их эксплуатации остаётся низкой. В-третьих, Microsoft подтвердила, что атаки уже происходят. Всё это делает данные дефекты крайне привлекательными для злоумышленников, особенно в связке с другими методами проникновения.
Особую тревогу вызывает сценарий постэксплуатации. Предположим, атакующий получает начальный доступ через фишинг или другую уязвимость. Затем он использует CVE-2026-41091 для повышения привилегий и захвата полного контроля над системой. Такие цепочки атак характерны для кампаний продвинутых постоянных угроз (APT - сложные целевые атаки, обычно спонсируемые государствами) и для операций программ-вымогателей.
Таким образом, уязвимость повышения привилегий становится идеальным инструментом для закрепления в системе (persistence) и дальнейшего продвижения по сети. Злоумышленники могут скрытно расширять свои возможности, пока администраторы не заметят аномалий.
Microsoft уже выпустила официальные исправления для обеих проблем. Компания настоятельно рекомендует установить последние обновления безопасности как можно скорее. Кроме того, организациям стоит проверить системные журналы на предмет подозрительной активности. Мониторинг событий поможет вовремя выявить попытки эксплуатации.
В дополнение к установке патчей специалистам следует применять стратегию многоуровневой защиты. В частности, полезно внедрить системы обнаружения и реагирования на конечных точках (EDR - класс продуктов для мониторинга и реагирования на угрозы на конечных устройствах). Контроль доступа по принципу минимальных привилегий также снижает риск. Постоянный мониторинг инфраструктуры позволяет быстрее замечать аномалии.
Раскрытие этих уязвимостей наглядно демонстрирует, что даже самые доверенные инструменты безопасности могут сами стать точкой входа для атаки. Защитное программное обеспечение развёрнуто практически везде. Поэтому каждая новая бреш в нём несёт повышенную опасность. Злоумышленники постоянно совершенствуют свои техники. Своевременное обновление и проактивный поиск угроз остаются двумя ключевыми элементами современной защиты.
Специалистам по безопасности стоит обратить внимание на то, что обе уязвимости имеют низкий порог входа для атаки. Отсутствие необходимости во взаимодействии с пользователем делает их особенно коварными. В условиях, когда многие сотрудники работают удалённо, риск повышается. Корпоративные устройства не всегда получают обновления мгновенно. Поэтому время между раскрытием уязвимости и её массовой эксплуатацией может быть очень коротким.
В итоге главный вывод очевиден: патчи нужно устанавливать без промедления. Администраторам стоит провести инвентаризацию всех систем, где работает Microsoft Defender. После установки обновлений желательно провести сканирование на предмет возможного уже закрепившегося вредоносного кода. Кроме того, стоит усилить мониторинг событий, связанных с повышением привилегий и необычным поведением защитного ПО.
Только комплексный подход, сочетающий своевременные обновления, продвинутые средства обнаружения и строгие политики доступа, способен минимизировать ущерб от подобных инцидентов. Игнорировать такие угрозы больше нельзя - каждая уязвимость нулевого дня в инструментах безопасности становится брешью, через которую злоумышленники могут прорвать всю оборону.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41091
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45498
