Notebookcheck Logo

Microsoft reagiert auf Defender-Angriffe und schließt kritische Sicherheitslücken

Microsoft veröffentlicht Defender Notfall-Patches zur Behebung zweier aktiv ausgenutzter Zero-Day-Schwachstellen
ⓘ Microsoft.com
Microsoft veröffentlicht Defender Notfall-Patches zur Behebung zweier aktiv ausgenutzter Zero-Day-Schwachstellen
Microsoft hat Notfall-Patches für zwei aktiv ausgenutzte Zero-Day-Schwachstellen in Defender, „RedSun“ und „UnDefend“, veröffentlicht, nachdem Huntress deren Einsatz in realen Angriffen bestätigt hatte.
Business Desktop Hack / Data Breach Laptop / Notebook Microsoft Software Windows

Am 21. Mai 2026 veröffentlichte Microsoft Notfall-Patches für zwei Zero-Day-Schwachstellen in Windows Defender, die bereits aktiv in Angriffen ausgenutzt wurden. Der Forscher Chaotic Eclipse hatte die Schwachstellen, bekannt als RedSun und UnDefend, ohne vorherige Abstimmung offengelegt. Zum Zeitpunkt der Veröffentlichung lagen weder CVE-Kennungen noch Patches vor. Das Endpoint-Security-Unternehmen Huntress bestätigte die aktive Ausnutzung, noch bevor entsprechende Updates verfügbar waren.

Auswirkungen der Schwachstellen

Die kritischere der beiden, CVE-2026-41091 (CVSS 7,8), betrifft die Microsoft Malware Protection Engine. Sie beruht auf einer fehlerhaften Linkauflösung vor dem Dateizugriff. Dadurch kann ein Angreifer mit niedrigen Rechten während eines Defender-Scans symbolische Links oder Verzeichnisverknüpfungen manipulieren und so Systemrechte erlangen – ohne erhöhte Privilegien.

Die zweite Schwachstelle, CVE-2026-45498 (CVSS 4,0), betrifft die Microsoft Defender Antimalware Platform. Sie ermöglicht einen Denial-of-Service gegen die Schutz-Engine selbst, wodurch Definitionsupdates unbemerkt blockiert werden und die Erkennung neuer Bedrohungen beeinträchtigt wird. Betroffen sind neben Windows Defender auch System Center Endpoint Protection, System Center 2012 R2, System Center 2012 Endpoint Protection sowie Security Essentials. Während der Ausnutzung erhalten weder Nutzer noch Administratoren sichtbare Warnungen.

Patch-Status und verbleibende Risiken

Beide Schwachstellen wurden in der Malware Protection Engine Version 1.1.26040.8 sowie der Antimalware Platform Version 4.18.26040.7 behoben. Microsoft verteilt die Updates automatisch über den integrierten Defender-Update-Mechanismus. Administratoren sollten sicherstellen, dass mindestens diese Versionen installiert sind, insbesondere in Umgebungen mit verzögerten Updates.

CISA nahm beide Schwachstellen bereits am 20. Mai 2026 in seinen Katalog bekannter aktiv ausgenutzter Schwachstellen auf und setzte Bundesbehörden eine Frist bis zum 3. Juni zur Behebung. Das gleiche Engine-Update schließt zudem eine weitere Schwachstelle, CVE-2026-45584, einen Heap-basierten Pufferüberlauf (CVSS 8,1), der Remote-Code-Ausführung ohne Benutzerinteraktion ermöglichen kann. Eine aktive Ausnutzung dieser Schwachstelle wurde bislang nicht bestätigt.

RedSun und UnDefend sind die vierte und fünfte Zero-Day-Entdeckung von Chaotic Eclipse innerhalb von sechs Wochen und betreffen durchgehend Windows-Sicherheitskomponenten. Die als MiniPlasma bezeichnete Schwachstelle, die über den Cloud-Filter-Treiber Systemzugriff auf vollständig gepatchten Windows-11-Systemen ermöglicht, gilt weiterhin als ungepatcht. Weitere Details dazu finden sich in einem früheren Bericht.

Google LogoAls bevorzugte Quelle auf Google hinzufügen
Mail Logo
static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten

Verwandte Artikel

> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2026-05 > Microsoft reagiert auf Defender-Angriffe und schließt kritische Sicherheitslücken
Autor: Darryl Linington, 22.05.2026 (Update: 22.05.2026)