Microsoftは、脅威アクターがMicrosoft Defenderの新しいゼロデイ脆弱性を積極的に悪用していることを確認しました。
CVE-2026-41091として追跡されているこのセキュリティ欠陥は、ローカル攻撃者が権限を昇格させ、侵害されたシステムを完全に制御することを可能にします。
この脆弱性は、「リンク追従」(CWE-59)と呼ばれることが多い、ファイルアクセス前の不適切なリンク解決として知られている問題に由来しています。
これを視覚化するために、攻撃者がコンピュータ上に欺瞞的な標識を残すと想像してください。Microsoft Defenderのスキャンエンジンが害のなさそうなファイルショートカットを読もうとしたとき、偽の標識はエンジンを代わりに高度に保護されたシステムファイルにリダイレクトします。
Defenderは広範な管理権限で動作するため、攻撃者は事実上アンチウイルスをだましてSYSTEMレベルのアクセスを与えさせます。
攻撃者が攻撃を実行するには既にターゲットマシンへのローカルアクセスが必要ですが、エクスプロイトは低い攻撃複雑性を必要とし、ユーザーのやり取りはまったく必要ありません。
Microsoftは、エクスプロイトが公開されており、野生で積極的に使用されていることを確認しました。
2026年5月19日、Microsoftはゼロデイ欠陥の公式修正をロールアウトしました。
この脆弱性は、Windows オペレーティングシステム全体でスキャンと脅威検出を処理するMicrosoft マルウェア保護エンジン(mpengine.dll)内に存在します。
この欠陥はバージョン1.1.26030.3008までのエンジンバージョンに影響を与え、バージョン1.1.26040.8で正常にパッチされています。
ほとんどのエンタープライズ展開とホームユーザーの場合、手動パッチは必要ありません。Microsoft マルウェア保護エンジンは、デフォルトで自動的に更新をプルするように設定されており、新しく発見された脅威に対する継続的な保護を確保します。
セキュリティチームは、環境が安全に保たれるようにするために、次のガイドラインを遵守する必要があります。
翻訳元: https://cyberpress.org/microsoft-defender-zero-day-exploited/