A Microsoft sürgősségi biztonsági frissítéseket adott ki két olyan Microsoft Defender sérülékenységhez, amelyeket már a javítások megjelenése előtt aktívan kihasználtak valós támadások során.
Az érintett sérülékenységek:
- CVE-2026-41091 – Privilege Escalation (SYSTEM jogosultság)
- CVE-2026-45498 – Denial of Service (DoS)
A helyzet súlyosságát mutatja, hogy az amerikai Cybersecurity and Infrastructure Security Agency mindkét hibát felvette a KEV (Known Exploited Vulnerabilities) listájára.
Miért különösen veszélyes?
A legtöbb támadás:
- alkalmazásokat,
- felhasználókat,
- vagy szervereket céloz.
Itt azonban magát a vírusirtót és a védelmi rendszert támadják.
Ez azért problémás, mert a Defender:
- kernelközeli jogosultságokkal fut,
- SYSTEM szinten működik,
- gyakorlatilag a Windows egyik legmagasabb privilégiumú komponense.
Ha ezt sikerül kompromittálni:
a támadó a védelem mögé kerül.
CVE-2026-41091 – SYSTEM jogosultság megszerzése
Érintett komponens
Microsoft Defender Malware Protection Engine
Érintett verzió:
- 1.1.26030.3008 és korábbi
Mi a hiba?
A Microsoft szerint:
Improper Link Resolution Before File Access
Más néven:
- Link Following Vulnerability
A támadó manipulálhatja a Defender által kezelt fájlhivatkozásokat, és ezzel SYSTEM jogosultságot szerezhet.
Mit jelent a SYSTEM hozzáférés?
A támadó képes lehet:
- malware telepítésére
- antivírus kikapcsolására
- credential lopásra
- új admin fiókok létrehozására
- domain kompromittálásra
- laterális mozgásra
Gyakorlatilag:
teljes gépátvétel.
CVE-2026-45498 – Defender DoS
Érintett komponens
Microsoft Defender Antimalware Platform
Érintett verzió:
- 4.18.26030.3011 és korábbi
Mi történik?
A sérülékenység kihasználásával:
- Defender szolgáltatások összeomolhatnak,
- a gép instabillá válhat,
- monitoring kieshet.
Ez önmagában nem ad rendszergazdai jogot, viszont:
vakfoltot hozhat létre egy folyamatban lévő támadás közepén.
Mely termékeket érinti?
A második hiba több régebbi Microsoft biztonsági terméket is érint:
- Microsoft Defender
- System Center Endpoint Protection
- Microsoft Security Essentials
Különösen veszélyeztetettek lehetnek:
- régi szerverek
- önkormányzati rendszerek
- oktatási intézmények
- egészségügyi környezetek
ahol lassabban érkeznek a frissítések.
A Microsoft által kiadott javítások
Malware Protection Engine
Friss verzió:
- 1.1.26040.8
Antimalware Platform
Friss verzió:
- 4.18.26040.7
Hogyan ellenőrizhető?
Windows Security → Virus & Threat Protection → Protection Updates
Majd:
- Check for updates
Ezután:
Settings → About
Itt ellenőrizhető a telepített verzió.
CISA intézkedés
A CISA minden amerikai szövetségi szerv számára előírta:
- a sérülékenységek javítását
- vagy az érintett termékek kivonását
határidő:
2026. június 3.
Ez önmagában jelzi, hogy a sérülékenységeket magas kockázatúnak tekintik.
Miért láthatunk egyre több ilyen esetet?
Az elmúlt években a támadók egyre gyakrabban célozzák:
- EDR rendszereket
- vírusirtókat
- monitoring platformokat
- SIEM rendszereket
- menedzsment konzolokat
Korábbi célpontok voltak többek között:
- Palo Alto Networks
- Ivanti
- VMware
- Microsoft
termékei.
Ennek oka egyszerű:
ha a védelmet töröd fel, az egész infrastruktúra könnyebben támadható.
Mit érdemes tenni vállalati környezetben?
Azonnal
✅ Defender verziók ellenőrzése
✅ Frissítések kikényszerítése
✅ Endpoint compliance audit
Extra monitorozás
Figyelni:
- szokatlan SYSTEM folyamatokat
- Defender szolgáltatás újraindulásokat
- antivírus kikapcsolási kísérleteket
- jogosultság-emelkedéseket
Régi rendszerek
Külön vizsgálni:
- Windows Server 2012/2016 környezeteket
- System Center Endpoint Protection használatát
- Security Essentials maradvány telepítéseket
DPO / önkormányzati környezetben különösen fontos
Mivel sok önkormányzatnál és intézménynél:
- központi Defender védelem működik,
- Windows alapú ASP környezetek vannak,
- szerverek ritkábban frissülnek,
érdemes ellenőrizni:
- a Defender platform verzióját,
- a definíciók frissességét,
- és a WSUS vagy Intune szinkronizációt.
Összegzés
A két új Defender zero-day azért különösen veszélyes, mert:
- már aktívan kihasználják őket,
- magát a védelmi rendszert támadják,
- egyikük SYSTEM jogosultságot adhat,
- a másik képes védelmi vakfoltot létrehozni,
- a CISA már sürgős javítást rendelt el.
A legfontosabb teendő most:
ellenőrizni, hogy a Defender Engine legalább 1.1.26040.8, illetve az Antimalware Platform legalább 4.18.26040.7 verzióra frissült-e minden Windows gépen. 📌
