CISAはMicrosoft Malware Protection EngineおよびMicrosoft Defender Antimalware Platformの脆弱性をKEVカタログに追加し、ワイルドでの悪用を示唆しています。
Microsoftは、Microsoft Defenderのマルウェア保護コンポーネントにおける2つのゼロデイ脆弱性に対する緊急修正をリリースしました。これらの欠陥により、ローカル攻撃者はシステムレベルの特権を取得するか、アンチマルウェアサービスが正常に機能するのを停止させることができます。
どちらの状態もマルウェア攻撃において有価値です。まず、システムがMicrosoftのエンドポイント保護のみに依存している場合に検出を防ぐため、そして次に、システムに対する完全な制御を獲得するためです。
水曜日、米国サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、CVE-2026-41091およびCVE-2026-45498として追跡されている2つの脆弱性を、既知の悪用されている脆弱性(KEV)カタログに追加し、ワイルドでの悪用が検出されたことを示しました。
セキュリティ専門家は報告していることに、2つの欠陥は、Nightmare Eclipseと自称する不満を抱く研究者によって先月GitHubに公開されたRedSunおよびUnDefendエクスプロイトの背後にあります。もっともらしい点もありますが、Microsoftはこれら2つの脆弱性に関する勧告でこれらのエクスプロイト名に言及していません。
権限昇格の欠陥であるCVE-2026-41091はmpengine.dllに位置し、複数のMicrosoftアンチマルウェア製品でファイルスキャン、マルウェア検出、クリーニングを処理するMicrosoft Malware Protection Engine(MPE)コンポーネントです:Microsoft Defender、Microsoft System Center Endpoint Protection、Microsoft System Center 2012 R2 Endpoint Protection、Microsoft System Center 2012 Endpoint Protection、およびMicrosoft Security Essentials。
脆弱性は、ファイルアクセス前の不適切なリンク解決の問題として説明されています。言い換えれば、意図しない結果をもたらすリンクまたはショートカットフォロールーチンに関連しています。欠陥はCVSSスコア7.8で評価され、高い深刻度を意味します。
もう1つの脆弱性であるCVE-2026-45498はMicrosoft Defender Antimalware Platform(MsMpEng.exe)にあり、一連のカーネルモードドライバーとともに、リアルタイム監視と保護を担当します。MPEと同様に、このコンポーネントはMicrosoftの他のエンドポイント保護製品によって使用されています。
Microsoftは1日3回マルウェア定義の更新を発行していますが、mpengine.dllおよびMsMpEng.exeなどのプラットフォームコンポーネントは、月1回またはが必要に応じてのみ更新されます。
顧客は、それぞれの製品で更新をチェックするために手動でトリガーし、Malware Protection Engineのバージョン1.1.26040.8以降およびMicrosoft Defender Antimalware Platformのバージョン4.18.26040.7以降を実行していることを確認するようお勧めします。Malware Protection Engineの更新は、CVE-2026-45584として追跡されるリモートコード実行脆弱性も修正しますが、この欠陥は公開されたり悪用されたりはしていません。
翻訳元: https://www.csoonline.com/article/4175970/microsoft-patches-two-zero-day-flaws-in-defender.html
