Microsoft beschreibt CVE-2026-41091 als Schwachstelle, die aus einer fehlerhaften Auflösung von Verknüpfungen vor dem Dateizugriff (Link Following) resultiert. Angreifer können dadurch ihre Rechte bis auf SYSTEM-Ebene ausweiten. Die betroffene Microsoft Malware Protection Engine stellt die Scan-, Erkennungs- und Bereinigungsfunktionen der Microsoft-Antiviren- und Antispyware-Software bereit.
Die zweite Lücke, CVE-2026-45498, betrifft die Microsoft Defender Antimalware Platform – eine Sammlung von Sicherheitswerkzeugen, die unter anderem auch in System Center Endpoint Protection, System Center 2012 R2 Endpoint Protection, System Center 2012 Endpoint Protection sowie in Security Essentials zum Einsatz kommt. Eine erfolgreiche Ausnutzung erlaubt es Angreifern laut Microsoft, auf ungepatchten Windows-Systemen einen Denial-of-Service-Zustand herbeizuführen.
Behoben werden beide Fehler mit den Engine-Versionen 1.1.26040.8 beziehungsweise 4.18.26040.7. Microsoft betont, dass Kunden ihre Systeme im Regelfall nicht aktiv absichern müssen, weil „die Standardkonfiguration der Microsoft-Antimalware-Software dafür sorgt, dass die Malware-Definitionen und die Windows Defender Antimalware Platform automatisch aktuell gehalten werden". Dennoch sollten Nutzer überprüfen, ob Plattform-Updates und Malware-Definitionen tatsächlich auf automatische Installation eingestellt sind und das Update eingespielt wurde.
Auch die US-Cybersicherheitsbehörde CISA hat reagiert und Regierungsbehörden angewiesen, ihre Windows-Systeme gegen die beiden Defender-Zero-Days abzusichern. Sie warnt, dass die Lücken aktiv ausgenutzt werden, und hat sie in ihren Known-Exploited-Vulnerabilities-Katalog (KEV) aufgenommen. Die Behörden der Federal Civilian Executive Branch (FCEB) müssen ihre Windows-Endgeräte und -Server gemäß der Binding Operational Directive (BOD) 22-01 innerhalb von zwei Wochen, bis zum 3. Juni, absichern.
„Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und stellt ein erhebliches Risiko für die Bundesverwaltung dar", erklärte die Behörde. Sie fordert, die vom Hersteller vorgegebenen Gegenmaßnahmen umzusetzen, die einschlägigen BOD-22-01-Vorgaben für Cloud-Dienste zu befolgen oder das Produkt einzustellen, falls keine Gegenmaßnahmen verfügbar sind.
Zuvor hatte Microsoft bereits Gegenmaßnahmen für YellowKey veröffentlicht, eine kürzlich offengelegte Zero-Day-Schwachstelle in Windows BitLocker, die Angreifern den Zugriff auf geschützte Laufwerke ermöglicht.
