A Microsoft javítja a Defender nulladik napjait, amelyeket élő támadásokban használtak ki

2026. május 21-én a Microsoft sávon kívüli javítócsomagokat tett közzé két olyan Windows Defender nulladik naphoz, amelyeket valódi támadások már megerősítettek. Chaotic Eclipse kutató mindkét sebezhetőséget, amelyek RedSun és UnDefend néven váltak nyilvánosan ismertté, összehangolt közzététel nélkül hozta nyilvánosságra. Az első kiadáskor nem volt CVE és javítás sem. A Huntress végpontbiztonsági cég megerősítette az aktív kihasználást, mielőtt a javítások léteztek volna.

Mit tesz a két nulladik nap

A kettő közül a súlyosabb, CVE-2026-410917,8-as CVSS pontszámmal rendelkezik, és a Microsoft Malware Protection Engine-t veszi célba. A hiba a fájlhozzáférés előtti nem megfelelő linkfeloldásból ered, ami lehetővé teszi egy alacsony jogosultságú támadó számára, hogy egy szimbolikus linket vagy könyvtárkapcsolatot manipuláljon egy Defender-ellenőrzés során, és teljes RENDSZER-szintű irányításhoz jusson. Nem szükségesek megemelt indítási engedélyek.

A második, CVE-2026-45498a CVSS 4.0 minősítésű, és a Microsoft Defender Antimalware Platformot célozza. Magát a védelmi motort támadja meg, csendben blokkolja a definíciófrissítéseket, és csökkenti a Defender képességét az új fenyegetések észlelésére. A hiba a hagyományos Defender telepítések mellett a System Center Endpoint Protection, a System Center 2012 R2 és 2012 Endpoint Protection, valamint a Security Essentials programokat is érinti. Egyik sebezhetőség sem vált ki látható figyelmeztetést a felhasználó vagy a rendszergazda számára a kihasználás során.

Mire terjed ki a javítás, és mi marad nyitva

Mindkét CVE-t a Malware Protection Engine 1.1.26040.8-as verziója és az Antimalware Platform 4.18.26040.7-es verziója javítja. A Microsoft a javításokat a Defender beépített frissítési mechanizmusán keresztül automatikusan szállítja. A rendszergazdáknak meg kell győződniük arról, hogy telepítéseikben ezek a verziók vagy újabbak futnak, különösen a légköri vagy felügyelt környezetekben, ahol az automatikus frissítések késhetnek.

A CISA mindkét sebezhetőséget felvette a ismert, kihasználható sebezhetőségek listájára katalógusba 2026. május 20-án, és június 3-ig adta meg a szövetségi polgári végrehajtó szervek számára a javítás megerősítésére. Ugyanaz a motorfrissítés, amely a CVE-2026-41091-et orvosolja, egy harmadik hibát is orvosol, a CVE-2026-45584-et, egy halomalapú puffer túlcsordulást, amelynek CVSS értéke 8.1, és amely felhasználói beavatkozás nélküli távoli kódfuttatást tesz lehetővé. A CVE-2026-45584-et még nem erősítették meg, hogy a vadonban kihasználják.

A RedSun és az UnDefend a Chaotic Eclipse által az elmúlt hat hétben kiadott negyedik és ötödik nulladik nap, amelyek mind a Windows biztonsági komponenseit célozzák. MiniPlasma, amely a Cloud Filter vezérlőn keresztül a teljes mértékben foltozott Windows 11-es gépeken a SYSTEM-hozzáférést biztosítja, továbbra is javítatlan. Erről a közzétételről és a tágabb sorozaton belüli összefüggéseiről bővebben korábbi jelentésünkben olvashat: