微軟近期揭露,Microsoft Defender 的兩個安全漏洞已遭到實際利用,分別涉及權限提升與阻斷服務(DoS)。
漏洞詳情
第一個漏洞為
CVE-2026-41091,CVSS 評分 7.8。其成因是 Microsoft Malware Protection Engine 在存取檔案前未正確解析連結,屬於「連結追蹤」(Link Following)類型問題。微軟表示,攻擊者若成功利用該漏洞,可在本機取得 SYSTEM 權限。
第二個漏洞為
CVE-2026-45498,CVSS 評分 4.0,可能使 Microsoft Defender 進入阻斷服務狀態,導致其無法正常運作。
上述兩個漏洞均已公開揭露,且微軟確認已遭到利用。此外,微軟也同步修補第三個漏洞
CVE-2026-45584(CVSS 評分 8.1)。該漏洞為 Defender 中的堆積式緩衝區溢位問題,未經授權的攻擊者可能藉此實現遠端程式碼執行,但目前尚無證據顯示已遭野外利用。
受影響範圍與修補版本
- CVE-2026-41091 與 CVE-2026-45584 影響 Microsoft Malware Protection Engine v1.26030.3008,已於 v1.1.26040.8 修復
- CVE-2026-45498 影響 Microsoft Defender Antimalware Platform,已於 v4.18.26040.7 修復
除 Microsoft Defender 外,Microsoft System Center Endpoint Protection 與 Microsoft Security Essentials 亦使用上述引擎與平台,因此同樣受影響。已停用 Microsoft Defender 的系統則不受影響。
延伸閱讀:研究員公開利用程式逼出緊急應對!微軟為「 YellowKey」漏洞發布緩解措施
漏洞背景:Nightmare Eclipse 公開概念驗證程式碼
今年 4 月 3 日與 15 日,一名化名 Nightmare Eclipse(又稱 Chaotic Eclipse)的資安研究人員陸續公開三個 Microsoft Defender 漏洞的概念驗證(PoC)攻擊程式,分別命名為
BlueHammer、
RedSun 與
UnDefend。
微軟雖未正式確認,但 CVE-2026-41091 與 CVE-2026-45498 的漏洞描述,與 RedSun 及 UnDefend 高度重疊。資安公司 Huntress 的事件應變人員亦觀察到攻擊者同時利用 BlueHammer(CVE-2026-33825)、RedSun 與 UnDefend 三個漏洞進行入侵。BlueHammer 已於 4 月下旬由 CISA 列入已知遭利用漏洞(KEV)目錄。
CISA 要求聯邦機構於 6 月 3 日前完成修補
美國網路安全暨基礎設施安全局(CISA)已於 5 月 20 日將 CVE-2026-41091 與 CVE-2026-45498 列入 KEV 目錄,並要求聯邦文職行政機構(FCEB)於 2026 年 6 月 3 日前完成修補,或停止使用相關產品。
這也是微軟漏洞在一週內第三度被標記為遭利用。上週,微軟亦揭露一個影響本地部署版 Exchange Server 的跨站腳本(XSS)漏洞
CVE-2026-42897(CVSS 評分 8.1)已遭到實際攻擊利用。
同日,CISA 也將四個 2008 至 2010 年間的舊版微軟漏洞一併列入 KEV 目錄,涉及 Internet Explorer 的 use-after-free 漏洞(CVE-2010-0806、CVE-2010-0249)、Microsoft DirectX 的 NULL 位元組覆寫漏洞(CVE-2009-1537),以及 Windows Server Service 的緩衝區溢位漏洞(CVE-2008-4250)。此外,Adobe Acrobat 與 Reader 的堆積式緩衝區溢位漏洞(CVE-2009-3459)亦一併列入。
使用者防護建議
微軟表示,在系統預設設定下,惡意程式定義與 Microsoft Malware Protection Engine 會自動更新,因此多數使用者無需手動操作。若要確認是否已安裝最新版本,可依下列步驟檢查:
- 開啟 Windows 安全性程式。
- 在左側導覽窗格選擇「病毒與威脅防護」。
- 在「病毒與威脅防護更新」區段中,點選「保護更新」。
- 選擇「檢查更新」。
- 在導覽窗格選擇「設定」,再選擇「關於」。
- 確認 Antimalware Client Version 的版本號碼。
本文轉載自 TheHackerNews、HelpNetSecurity。