Корпорация Microsoft выпустила экстренные исправления для двух уязвимостей нулевого дня в компонентах защиты от вредоносного ПО Microsoft Defender. Эти недостатки позволяют локальным злоумышленникам получить привилегии на уровне системы или вызвать некорректную работу службы антивирусной защиты.
Оба сценария крайне полезны при атаке вредоносного ПО: первый позволяет избежать обнаружения, если система полагается только на средства защиты конечных точек Microsoft, а второй дает полный контроль над системой.
В среду Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило две уязвимости, отслеживаемые как CVE-2026-41091 и CVE-2026-45498, в свой каталог известных эксплуатируемых уязвимостей (KEV), что свидетельствует об обнаружении их использования в реальных атаках.
Эксперты по безопасности сообщают, что за этими двумя недостатками стоят эксплойты RedSun и UnDefend, опубликованные в прошлом месяце на GitHub исследователем, называющим себя Nightmare Eclipse. Хотя это правдоподобно, Microsoft не упоминала названия этих эксплойтов в своих бюллетенях по поводу этих двух уязвимостей.
Уязвимость повышения привилегий, CVE-2026-41091, находится в файле mpengine.dll — компоненте Microsoft Malware Protection Engine (MPE), который отвечает за сканирование файлов, обнаружение и удаление вредоносного ПО в ряде антивирусных продуктов Microsoft: Microsoft Defender, Microsoft System Center Endpoint Protection, Microsoft System Center 2012 R2 Endpoint Protection, Microsoft System Center 2012 Endpoint Protection и Microsoft Security Essentials.
Уязвимость описывается как проблема некорректного разрешения ссылок перед доступом к файлу. Иными словами, она связана с процедурой обработки ссылок или ярлыков, которая приводит к непреднамеренным последствиям. Уязвимости присвоен балл CVSS 7.8, что означает высокую степень критичности.
Другая уязвимость, CVE-2026-45498, находится в платформе Microsoft Defender Antimalware Platform (MsMpEng.exe), которая наряду с рядом драйверов в режиме ядра отвечает за мониторинг и защиту в реальном времени. Как и MPE, этот компонент используется и другими продуктами Microsoft для защиты конечных точек.
Хотя Microsoft выпускает обновления для определений вредоносных программ три раза в день, компоненты платформы, такие как mpengine.dll и MsMpEng.exe, обновляются только раз в месяц или по мере необходимости.
Клиентам рекомендуется вручную запустить проверку обновлений в соответствующем продукте и убедиться, что они используют версию Malware Protection Engine 1.1.26040.8 или новее, а также версию Microsoft Defender Antimalware Platform 4.18.26040.7 или новее. Обновление Malware Protection Engine также устраняет уязвимость удаленного выполнения кода, отслеживаемую как CVE-2026-45584, однако эта уязвимость не была публично раскрыта или использована.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
