攻撃者がMicrosoft Defenderの2つの脆弱性(CVE-2026-41091およびCVE-2026-45498)を悪用しており、Microsoftはこれを認め、CISAはそれらを既知の悪用されている脆弱性カタログに追加することで確認しました。
脆弱性について
CVE-2026-41091はローカル権限昇格(LPE)を可能にし、Microsoft Malware Protection Engineがファイルにアクセスする前にシンボリックリンクを不適切に解決することが原因です。「この脆弱性を正常に悪用した攻撃者はSYSTEM権限を獲得できる可能性があります」とMicrosoftは述べています。
CVE-2026-45498はサービス拒否(DoS)状態を引き起こす可能性があります。つまり、Microsoft Defenderが正常に機能するのを防ぐために使用できます。
両方の脆弱性は公開されており、野生で悪用されているのが観察されていると、Microsoftは述べています。
CVE-2026-41091は、3番目のMicrosoft Defenderリモートコード実行脆弱性(CVE-2026-45584)とともにMicrosoft Malware Protection Engine v1.26030.3008に影響し、v1.1.26040.8で修正されています。
CVE-2026-45498はMicrosoft Defender Antimalware Platformに影響します。これは「Windows上で実行され、デバイスを新しい脅威と蔓延している脅威から保護するユーザーモードバイナリ(…)とカーネルモードドライバーのコレクション」であり、v4.18.26040.7で修正されています。
「エンタープライズ展開およびエンドユーザーの場合、Microsoftのマルウェア対策ソフトウェアのデフォルト設定は、マルウェア定義とMicrosoft Malware Protection Engineが自動的に最新に保たれることを確認するのに役立ちます」とMicrosoftは述べ、このMalware Protection Engineの更新には「セキュリティ関連機能の改善を支援するために防御を深めるアップデートが含まれている」と述べました。
Microsoft Defender Antimalware Platformについても同じことが言えます。
Protection EngineとAntimalware PlatformはMicrosoft Defenderで使用されていますが、MicrosoftのSystem Center Endpoint ProtectionおよびMicrosoft Security Essentialsでも使用されています。(後者は古いサポートされていないWindowsバージョンで実行される可能性がありますが、更新されなくなりました。)
2つの悪用された欠陥をそのKEVカタログに追加することにより、CISAはUS連邦民間機関が2026年6月3日までにMicrosoftのパッチを適用するか、製品を完全に削除するかのいずれかを命じました。
Microsoft Defender PoC悪用の波
4月3日と15日に、Nightmare Eclipseというハンドルネームの不満なセキュリティ研究者は、3つのMicrosoft Defender脆弱性に対するプルーフオブコンセプト悪用をリリースしました:BlueHammer(LPE欠陥)、RedSun(別のLPE)、およびUnDefend(DoS脆弱性)。
Huntressのインシデント対応者は、BlueHammer、RedSun、およびUnDefend悪用を活用する攻撃者を観察しています。
CVE-2026-33825識別子を受け取りパッチが適用されたBlueHammerは、4月下旬にCISAのKEVカタログに追加されました。研究者のZen DoddとYuanpei Xuがそれを報告したことで信用されました。
MicrosoftはCVE-2026-41091のフラグを立てた複数の研究者に感謝し、CVE-2026-45498については感謝しませんでした。
2日前、MicrosoftはCVE-2026-45585(YellowKeyとも呼ばれる)の緩和アドバイスを共有しました。これはBitLockerバイパス欠陥で、Nightmare EclipseもPoC悪用を発行しました。
