Die beiden Fehler stecken in der Microsoft Defender Antimalware Platform und wurden mit Version 4.18.26040.7 geschlossen. In seinem knapp gehaltenen Advisory beschreibt Microsoft CVE-2026-41091 als „unzureichende Auflösung von Verknüpfungen vor dem Dateizugriff (‚link following’) in Microsoft Defender", die es einem berechtigten Angreifer erlaube, lokal seine Rechte auszuweiten. Über die zweite Lücke, CVE-2026-45498, lässt sich eine Denial-of-Service-Bedingung herbeiführen.
Microsoft weist darauf hin, dass Systeme mit deaktiviertem Defender nicht angreifbar sind, auch wenn die zugehörigen Dateien auf dem Datenträger verbleiben. Nach Angaben des Unternehmens wurden beide Schwachstellen öffentlich offengelegt und eine Ausnutzung in freier Wildbahn beobachtet, ohne dass weitere Details genannt wurden.
Laut einem Beitrag von Microsoft-MVP Fabian Bader handelt es sich bei den beiden Lücken um die Varianten RedSun und UnDefend des BlueHammer-Exploits, den der Sicherheitsforscher Chaos Eclipse kürzlich öffentlich verbreitet hat. Auch BlueHammer wurde bereits in freier Wildbahn ausgenutzt.
Die CISA nahm beide Schwachstellen in ihren KEV-Katalog auf und setzte Bundesbehörden eine Frist zum Patchen bis zum 3. Juni. Gemeinsam mit den Defender-Lücken landeten fünf weitere Schwachstellen auf der Liste, die alle bereits vor über einem halben Jahrzehnt offengelegt wurden.
Die älteste davon ist CVE-2008-4250, eine Schwachstelle zur Remotecodeausführung (RCE) im Server-Dienst älterer Windows-Versionen, die sich über manipulierte RPC-Anfragen ausnutzen lässt. Es folgen CVE-2009-1537, ein NULL-Byte-Überschreibungsfehler in Microsoft DirectX, der RCE über präparierte QuickTime-Mediendateien ermöglicht und im Mai 2009 als aktiv ausgenutzt eingestuft wurde, sowie CVE-2009-3459, ein Heap-basierter Pufferüberlauf in Adobe Acrobat und Reader, der RCE über manipulierte PDF-Dateien erlaubt.
Zusätzlich warnte die CISA vor der Ausnutzung zweier Use-after-free-Schwachstellen im Internet Explorer (CVE-2010-0249 und CVE-2010-0806). Für sämtliche dieser Fehler müssen Bundesbehörden die Patches bis zum 3. Juni einspielen.
