Die schwerwiegendere der beiden Lücken, CVE-2026-41091, erlaubt eine lokale Rechteausweitung. In seinem Advisory beschreibt Microsoft die Ursache als „unsachgemäße Auflösung von Verknüpfungen vor dem Dateizugriff (‚Link Following‘)", durch die ein berechtigter Angreifer seine Privilegien lokal ausweiten kann. Erfolgreiche Ausnutzung kann nach Angaben des Unternehmens zu SYSTEM-Rechten führen. Die Schwachstelle ist mit einem CVSS-Wert von 7,8 bewertet.
Die zweite Lücke, CVE-2026-45498, ist ein Denial-of-Service-Fehler in Defender und mit 4,0 deutlich niedriger eingestuft. Beide Fehler wurden in der Microsoft Defender Antimalware Platform behoben, und zwar in den Versionen 1.1.26040.8 sowie 4.18.26040.7.
Microsoft weist darauf hin, dass Systeme, auf denen Defender deaktiviert ist, nicht betroffen sind. Ein manuelles Eingreifen sei nicht erforderlich, da die Malware-Definitionen und die Microsoft Malware Protection Engine automatisch aktualisiert werden.
An der Entdeckung und Meldung der Schwachstellen waren laut Microsoft fünf Parteien beteiligt: Sibusiso, Diffract, Andrew C. Dorman (alias ACD421), Damir Moldovanov sowie ein anonymer Forscher.
Zur Art der laufenden Angriffe liegen bislang keine Details vor. Die US-Behörde CISA hat beide Schwachstellen in ihren KEV-Katalog aufgenommen; die zivilen Bundesbehörden müssen die Korrekturen bis zum 3. Juni 2026 anwenden.
Damit wurden innerhalb einer Woche insgesamt drei ausgenutzte Microsoft-Schwachstellen gemeldet. Bereits zuvor hatte Microsoft offengelegt, dass eine Cross-Site-Scripting-Lücke in den lokalen Versionen von Exchange Server (CVE-2026-42897, CVSS-Wert 8,1) in realen Angriffen ausgenutzt wurde.
Ebenfalls neu im KEV-Katalog stehen vier weitere Microsoft-Schwachstellen aus den Jahren 2008, 2009 und 2010. In der Liste findet sich zudem CVE-2009-3459, ein Heap-basierter Pufferüberlauf in Adobe Acrobat und Reader, über den entfernte Angreifer durch eine präparierte PDF-Datei mit ausgelöster Speicherbeschädigung beliebigen Code ausführen können.
