Microsoft muss zwei Defender-Lücken gleichzeitig schließen
Microsoft hat Sicherheitsupdates für zwei Schwachstellen in Microsoft Defender veröffentlicht, die bereits aktiv bei Angriffen ausgenutzt werden. Besonders kritisch ist dabei nicht nur die technische Wirkung der Lücken, sondern der Ort, an dem sie sitzen: direkt im Sicherheitskern vieler Windows-Systeme.
Die erste Schwachstelle mit der Kennung CVE-2026-41091 erlaubt Angreifern eine lokale Rechteausweitung bis auf SYSTEM-Ebene. Betroffen ist die Microsoft Malware Protection Engine bis Version 1.1.26030.3008. Ursache ist ein Fehler bei der Verarbeitung von Dateiverknüpfungen vor dem eigentlichen Zugriff.
Die zweite Schwachstelle CVE-2026-45498 betrifft die Microsoft Defender Antimalware Platform bis Version 4.18.26030.3011. Hier können Angreifer gezielt Denial-of-Service-Zustände auslösen und Sicherheitsfunktionen destabilisieren.
Warum Defender selbst zum Angriffsziel wird
Der eigentliche Punkt liegt tiefer als die beiden CVEs selbst. Sicherheitssoftware besitzt heute enorme Systemrechte. Defender scannt Prozesse, überwacht Dateien in Echtzeit und arbeitet sehr nah am Betriebssystemkern. Genau deshalb werden solche Komponenten zunehmend selbst zum bevorzugten Angriffsziel.
Früher versuchten Angreifer primär, Schutzsoftware zu umgehen. Heute versuchen sie immer häufiger, sie direkt auszunutzen. Wer Kontrolle über Defender oder ähnliche Sicherheitsplattformen erhält, bekommt oft automatisch Zugriff auf zentrale Sicherheitsmechanismen des Systems.
Das verändert die Sicherheitsarchitektur moderner Windows-Umgebungen erheblich. Endpoint-Schutz ist längst nicht mehr nur Verteidigungsschicht, sondern selbst Teil der Angriffsfläche geworden.
CISA reagiert ungewöhnlich schnell
Auch die US-Behörde CISA reagierte sofort und nahm beide Schwachstellen in ihren Katalog aktiv ausgenutzter Sicherheitslücken auf.
Dass die Schwachstellen bereits im offiziellen
Known Exploited Vulnerabilities Catalog der CISA
gelistet werden, zeigt die Einstufung der Bedrohung sehr deutlich.
US-Bundesbehörden wurden angewiesen, ihre Systeme bis spätestens 3. Juni abzusichern.
Besonders problematisch ist dabei die Kombination aus hoher Verbreitung von Defender und den weitreichenden Berechtigungen der betroffenen Komponenten.
Microsoft verteilt automatische Updates
Microsoft hat bereits neue Versionen der betroffenen Komponenten veröffentlicht:
- Malware Protection Engine → 1.1.26040.8
- Antimalware Platform → 4.18.26040.7
Laut Microsoft werden die meisten Systeme automatisch aktualisiert. Trotzdem sollten Unternehmen und Administratoren prüfen, ob automatische Signatur- und Plattformupdates tatsächlich aktiv sind.
Gerade in größeren Unternehmensnetzwerken bleiben Security-Komponenten oft länger ungepatcht als klassische Windows-Updates, weil sie separat verwaltet werden.
Die größere Entwicklung dahinter
Die Defender-Lücken zeigen erneut ein grundlegendes Problem moderner IT-Sicherheit: Je tiefer Sicherheitssoftware ins System integriert wird, desto attraktiver wird sie für Angreifer.
Das gilt nicht nur für Antivirus-Lösungen. Auch EDR-Systeme, Identity-Plattformen, VPN-Clients und Monitoring-Software entwickeln sich zunehmend zu Hochrisiko-Komponenten mit enormen Berechtigungen.
Die Ironie dabei: Genau die Software, die Systeme schützen soll, wird immer häufiger selbst zum direkten Einstiegspunkt für Angriffe.
📂
Kategorie
News
Aktuelle Meldungen aus der Tech-Welt – kompakt eingeordnet, ohne Clickbait-Überschriften.
