Microsoft Defender: Zwei aktiv ausgenutzte Zero-Days CVE‑2026‑41091 und CVE‑2026‑45498 in KEV
Zwei aktiv ausgenutzte Schwachstellen in Microsoft Defender ermöglichen Angreifern, den Virenschutz zu deaktivieren und anschließend SYSTEM-Rechte zu erlangen. CISA hat beide CVEs in den KEV-Katalog aufgenommen – Patches sind verfügbar.
Microsoft warnt vor zwei aktiv ausgenutzten Schwachstellen in Microsoft Defender, die zusammen eine besonders gefährliche Angriffskette ermöglichen: Angreifer können zunächst den Virenschutz deaktivieren und anschließend SYSTEM-Rechte erlangen. Die CISA nahm beide Schwachstellen am 20. Mai 2026 in den Known Exploited Vulnerabilities-Katalog auf. Für US-Bundesbehörden galt eine Patch-Frist bis zum 3. Juni 2026 – Unternehmen weltweit sollten die Updates unverzüglich einspielen.
Die Schwachstellen im Detail
Betroffen sind zwei voneinander unabhängige, aber kombinierbar gefährliche Lücken in Microsoft Defender:
- CVE-2026-41091 (CVSS 7.8): Eine lokale Privilegienerweiterung in der Microsoft Malware Protection Engine (
MsMpEng) durch unsachgemäße Link-Auflösung. Ein lokaler Angreifer ohne Administratorrechte kann damit SYSTEM-Level-Privilegien erlangen. - CVE-2026-45498 (CVSS 4.0): Ein Denial-of-Service in Microsoft Defender, der den Antivirus-Schutz gezielt deaktiviert. Obwohl der CVSS-Wert moderat ausfällt, ist die Lücke in der Kombination mit CVE-2026-41091 hochkritisch.
Darüber hinaus wurde CVE-2026-45584 (CVSS 8.1) mit einem Heap-Buffer-Overflow und Remote-Code-Execution-Risiko bekannt. Für diese Schwachstelle ist nach aktuellem Stand kein aktiver Exploit in freier Wildbahn bekannt.
Das Sicherheitsunternehmen Huntress beobachtete die aktive Ausnutzung beider KEV-Lücken zusammen mit BlueHammer (CVE-2026-33825). Einen zeitlichen Bezug gibt es zudem zu den im April 2026 von der Gruppe Chaotic Eclipse veröffentlichten Zero-Days „RedSun" und „UnDefend".
Bin ich betroffen?
Betroffen sind alle Windows-Systeme, auf denen Microsoft Defender mit einer veralteten Antimalware Platform läuft. Die kritischen Versionsgrenzen lauten:
| CVE | Komponente | Verwundbare Version (kleiner als) |
|---|---|---|
| CVE-2026-41091 | Antimalware Platform | 1.1.26040.8 |
| CVE-2026-45498 | Antimalware Platform | 4.18.26040.7 |
Da Microsoft Defender auf nahezu allen Windows-Versionen vorinstalliert ist, sind potenziell sämtliche Windows-Clients und -Server betroffen, die seit dem letzten Patchzyklus keine Defender-Updates erhalten haben. Die Plattformversion lässt sich in der Windows-Sicherheits-App unter Viren- & Bedrohungsschutz → Einstellungen → Sicherheitsintelligenz einsehen. Per PowerShell kann die Version abgefragt werden:
Get-MpComputerStatus | Select-Object AMProductVersion, AMEngineVersionWie behebe ich das?
Die gepatchten Versionen werden automatisch über Windows Update und Defender-Signaturupdates verteilt. Konkrete Maßnahmen:
- Windows Update ausführen und ausstehende Updates vollständig einspielen.
- Defender-Plattformversion prüfen: Zielwert für CVE-2026-41091 ist
1.1.26040.8oder höher, für CVE-2026-45498 ist es4.18.26040.7oder höher. - In verwalteten Umgebungen per Microsoft Intune oder WSUS sicherstellen, dass alle Endpunkte die aktuellen Defender-Signaturen und Plattform-Updates erhalten haben.
- Systeme ohne automatische Updates (z. B. isolierte Netzwerksegmente) manuell aktualisieren.
Wie sich Windows-Updates in Unternehmensumgebungen zentral steuern lassen, beschreibt die s-edv.com-Anleitung Windows-Updates mit WSUS und Update for Business verwalten. Wer Microsoft Defender for Office 365 zusätzlich schützen möchte, findet in der Anleitung Defender for Office 365 gegen Phishing einrichten ergänzende Hinweise.
Was bedeutet das für Unternehmen?
Die Kombination aus CVE-2026-45498 und CVE-2026-41091 stellt eine zweistufige Angriffskette dar: Im ersten Schritt deaktiviert der Angreifer den Antivirus-Schutz per Denial-of-Service, im zweiten Schritt eskaliert er seine Privilegien auf SYSTEM-Level. Dieses Muster ist eine klassische Vorbereitungsstufe für Ransomware-Deployments oder die Etablierung langfristiger APT-Persistenz – ohne dass Sicherheitssoftware Alarm schlägt.
Da Microsoft Defender auf nahezu jeder Windows-Unternehmensumgebung aktiv ist, ist das Bedrohungspotenzial außergewöhnlich breit. Die aktive Ausnutzung in Kombination mit BlueHammer und der Veröffentlichung weiterer Exploit-Primitiven durch Chaotic Eclipse erhöht den Handlungsdruck zusätzlich.
Sicherheitsteams sollten die Patch-Compliance umgehend prüfen, verwaltete Endpunkte über Intune oder WSUS forcieren und Monitoring-Regeln auf ungewöhnliche Defender-Statusänderungen ausrichten. Eine strukturierte Multi-Faktor-Absicherung privilegierter Konten reduziert das Schadenpotenzial selbst im Fall einer erfolgreichen Privilegienerweiterung – wie die Anleitung MFA und Conditional Access in Microsoft 365 und Entra ID zeigt.
Quellen: The Hacker News – Microsoft Warns of Two Actively Exploited Defender Vulnerabilities (21. Mai 2026) | Help Net Security – Microsoft Defender CVE-2026-41091, CVE-2026-45498 exploited in the wild | CISA – Adds Seven Known Exploited Vulnerabilities to Catalog (20. Mai 2026)
