Microsoft đã tiết lộ rằng một lỗ hổng leo thang đặc quyền và một lỗi từ chối dịch vụ (DoS) trong Defender đang bị khai thác tích cực trong thực tế.
Lỗ hổng đầu tiên, được theo dõi dưới mã CVE-2026-41091, được xếp hạng 7.8 trên hệ thống chấm điểm CVSS. Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công giành được đặc quyền SYSTEM.
"Việc phân giải liên kết không đúng cách trước khi truy cập tệp ('link following') trong Microsoft Defender cho phép kẻ tấn công được ủy quyền thực hiện leo thang đặc quyền cục bộ," Microsoft cho biết trong một bản tư vấn an ninh.
Lỗ hổng thứ hai đang bị khai thác là CVE-2026-45498 (điểm CVSS: 4.0), một lỗi từ chối dịch vụ ảnh hưởng đến Defender. Hai lỗ hổng này đã lần lượt được khắc phục trong các phiên bản Microsoft Defender Antimalware Platform 1.1.26040.8 và 4.18.26040.7.
Mặc dù Microsoft chưa chính thức xác nhận, nhưng các mô tả lỗ hổng cho CVE-2026-41091 và CVE-2026-45498 có sự trùng lặp với RedSun và UnDefend, hai lỗ hổng Zero-Day của Defender đã được Chaotic Eclipse (còn gọi là Nightmare-Eclipse) công bố vào tháng trước. Huntress kể từ đó đã quan sát thấy việc khai thác cả hai lỗ hổng này, cùng với BlueHammer (CVE-2026-33825).
Lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng
Cũng được giải quyết trong phiên bản 1.1.26040.8 là một lỗ hổng tràn bộ đệm dựa trên heap (heap-based buffer overflow) trong Defender (CVE-2026-45584, điểm CVSS: 8.1) mà kẻ tấn công không cần xác thực có thể khai thác để thực thi mã từ xa. Hiện chưa có bằng chứng cho thấy lỗ hổng này đã bị khai thác trong thực tế.
Gã khổng lồ công nghệ lưu ý rằng các hệ thống đã vô hiệu hóa Microsoft Defender sẽ không bị ảnh hưởng bởi các lỗ hổng này. Họ cũng cho biết thêm rằng người dùng không cần thực hiện thao tác thủ công nào để cài đặt bản cập nhật vì phần mềm sẽ tự động cập nhật các định nghĩa mã độc và Microsoft Malware Protection Engine để đảm bảo khả năng bảo vệ tối ưu.
Microsoft đã ghi nhận năm bên khác nhau trong việc phát hiện và báo cáo CVE-2026-41091, bao gồm Sibusiso, Diffract, Andrew C. Dorman (ACD421), Damir Moldovanov và một nhà nghiên cứu ẩn danh.
Hướng dẫn kiểm tra phiên bản bảo mật
Để đảm bảo phiên bản mới nhất của Microsoft Malware Protection Platform và các bản cập nhật định nghĩa đang được tải xuống và cài đặt, người dùng được khuyến nghị thực hiện các bước sau:
- Mở chương trình Windows Security.
- Trong ngăn điều hướng, chọn Virus & threat protection.
- Nhấp vào Protection Updates.
- Chọn Check for updates.
- Trong ngăn điều hướng, chọn Settings, sau đó chọn About.
- Kiểm tra số phiên bản tại mục Antimalware Client Version.
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm cả CVE-2026-41091 và CVE-2026-45498 vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), yêu cầu các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) phải hoàn tất việc khắc phục trước ngày 3 tháng 6 năm 2026.
Với diễn biến này, tổng cộng đã có ba lỗ hổng của Microsoft được xác định là bị khai thác chỉ trong vòng một tuần. Tuần trước, Microsoft cũng cảnh báo về một lỗi cross-site scripting ảnh hưởng đến các phiên bản Exchange Server on-premise (CVE-2026-42897, điểm CVSS: 8.1) đã bị vũ khí hóa trong các cuộc tấn công thực tế.
Các lỗ hổng cũ hơn bị đưa vào danh sách KEV
Cũng được thêm vào danh mục KEV vào thứ Tư là bốn lỗ hổng Microsoft khác từ giai đoạn 2008-2010:
- CVE-2010-0806 – Microsoft Internet Explorer chứa lỗ hổng use-after-free cho phép thực thi mã từ xa.
- CVE-2010-0249 – Lỗ hổng use-after-free khác trong Internet Explorer cho phép thực thi mã tùy ý.
- CVE-2009-1537 – Microsoft DirectX chứa lỗ hổng ghi đè byte NULL trong quartz.dll, cho phép thực thi mã thông qua tệp QuickTime độc hại.
- CVE-2008-4250 – Lỗ hổng tràn bộ đệm trong Windows Server Service cho phép thực thi mã từ xa qua yêu cầu RPC.
Một lỗ hổng khác được nhắc đến là CVE-2009-3459, lỗi tràn bộ đệm dựa trên heap trong Adobe Acrobat và Reader, có thể dẫn đến thực thi mã thông qua tệp PDF được thiết kế đặc biệt gây hỏng bộ nhớ.