Microsoft warnt: Hacker attackieren Windows-Nutzer über Lücken im Defender
Im auf Windows-Systemen standardmäßig aktiven Microsoft Defender klaffen mal wieder mehrere Sicherheitslücken, die zum Teil schon aktiv ausgenutzt werden. Angreifer können damit je nach Lücke den Defender lahmlegen, ihre Rechte ausweiten oder sogar eigenen Code zur Ausführung bringen. Korrekturen sind bereits verfügbar und sollten zügig installiert werden, sofern noch nicht geschehen.
Eine der Lücken ist als CVE-2026-41091(öffnet im neuen Fenster) registriert und ermöglicht eine lokale Rechteausweitung. Ursache ist laut Microsoft eine "fehlerhafte Linkauflösung vor dem Dateizugriff". Ein Angreifer braucht vorab einen lokalen Zugriff mit einfachen Benutzerrechten, kann diese anhand der Lücke aber auf Systemrechte ausweiten.
Die zweite Lücke ist aus der Ferne ausnutzbar und als CVE-2026-45584(öffnet im neuen Fenster) registriert. Angreifer können damit im Microsoft Defender einen Pufferüberlauf erwirken und potenziell eigenen Code zur Ausführung bringen. Der Angriff erfolgt über das Netzwerk und erfordert laut Microsoft weder lokale Zugriffsrechte noch eine Nutzerinteraktion.
Zwei von drei Lücken unter Beschuss
Bei der dritten Lücke handelt es sich um CVE-2026-45498(öffnet im neuen Fenster). Mit einem CVSS-Wert von 4,0 wirkt die vergleichsweise harmlos und ermöglicht nur einen Denial-of-Service-Angriff, für den der Angreifer vorab einen lokalen Zugriff auf das Zielsystem benötigt. Um nach erfolgreicher Kompromittierung Malware nachzuladen, ohne dass der Defender diese blockiert, dürfte sich die Lücke aber dennoch eignen.
CVE-2026-41091 und CVE-2026-45584 erreichen mit CVSS-Werten von 7,8 bis 8,1 jeweils hohe Schweregrade. Aktiv ausgenutzt werden nach aktuellem Kenntnisstand nur CVE-2026-41091 und CVE-2026-45498, wie auch die US-Cyberbehörde Cisa in einer Warnmeldung bestätigt(öffnet im neuen Fenster). Beiden Lücken bescheinigt Microsoft eine geringe Angriffskomplexität. Bei der noch nicht ausgenutzten Lücke CVE-2026-45584 ist diese hingegen hoch.
Patches sind verfügbar
Gepatcht hat Microsoft alle drei Lücken zum 19. Mai mit Updates für die Antimalware Platform sowie die Malware Protection Engine des Microsoft Defender. In der Regel werden die betroffenen Komponenten automatisch aktualisiert. Wer prüfen will, ob er die Korrektur bereits erhalten hat, kann über die Windows-Suche das Einstellungsmenü "Windows-Sicherheit" öffnen und darin zu "Einstellungen ᐳ Info" navigieren.
Die dort angezeigte Antimalware-Clientversion sollte mindestens die Versionsnummer 4.18.26040.7 tragen, die Modulversion die Nummer 1.1.26040.8. Liegen auf dem jeweiligen System ältere Versionen vor, so kann über das Menü "Viren- & Bedrohungsschutz" manuell ein Suchlauf nach Updates angestoßen werden.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.