Die beiden Defender-Lücken markieren einen neuen Eskalationspunkt im Kampf um Windows-Sicherheit. CVE-2026-41091 ist eine Privilege-Escalation-Schwachstelle, die auf fehlerhafte Linkauflösung vor Dateizugriffen (“Link Following”) zurückgeht. Ein authentifizierter Angreifer kann diese Lücke nutzen, um lokal zu SYSTEM-Rechten zu gelangen – die höchsten Privilegien unter Windows. Ein solcher Zugriff eröffnet Cyberkriminellen die Tür zu Malware-Installation, Datendiebstahl oder Netzwerk-Lateral-Movement.
Die zweite Lücke (CVE-2026-45498) ist zwar mit einem niedrigeren CVSS-Wert bewertet, ermöglicht aber gezielte Denial-of-Service-Angriffe auf Defender. Dies kann die Schutzwirkung des Antivirus kompromittieren oder dessen Funktionen lahmlegen.
Microsoft hat beide Lücken in den Antimalware Platform-Versionen 1.1.26040.8 und 4.18.26040.7 gepatcht. Das Unternehmen betont, dass das Update automatisch verteilt wird und keine manuelle Installation erforderlich ist – allerdings sollten Nutzer sicherstellen, dass die automatischen Malware-Definition-Updates aktiv sind.
Fünf Sicherheitsforscher – darunter die bekannten Namen Andrew C. Dorman (ACD421) und Damir Moldovanov – sind als Entdecker aufgelistet. Konkrete Exploitationsdetails sind noch nicht öffentlich bekannt, was bei aktiver Ausbeutung ein hohes Risiko darstellt.
Diese Vorfälle reihen sich in eine Serie ein: Innerhalb einer Woche hat Microsoft bereits drei als aktiv ausgenutzt gekennzeichnete Lücken offengelegt, darunter die XSS-Schwachstelle CVE-2026-42897 in Exchange Server (CVSS 8,1). Die CISA hat beide Defender-Lücken ins KEV-Katalog aufgenommen, was für deutsche Unternehmen mit US-Geschäftsbeziehungen oder regulatorischen Verpflichtungen relevant werden kann.
Unternehmen sollten Update-Status überprüfen und ggf. manuell Scans durchführen, um kompromittierte Systeme zu identifizieren.