Microsoft vydal urgentné bezpečnostné aktualizácie pre dve novo objavené zero-day zraniteľnosti v ekosystéme Microsoft Defender po tom, čo potvrdil, že obe chyby sú už aktívne zneužívané v reálnych útokoch. Zraniteľnosti, ktoré sa týkajú kľúčových komponentov Defendera používaných vo windowsových systémoch po celom svete, vyvolali okamžité varovania zo strany amerických úradov pre kybernetickú bezpečnosť a spustili núdzové príkazy na prijatie opatrení pre federálne agentúry.
Chyby, identifikované ako CVE-2026-41091 a CVE-2026-45498, sa týkajú Malware Protection Engine a Antimalware Platform Microsoft Defendera — dvoch základných technológií zabudovaných do infraštruktúry zabezpečenia koncových bodov Windows v podnikoch, vládach a spotrebiteľských zariadeniach.
Toto zverejnenie je ďalším v rastúcej vlne útokov zameraných na samotný bezpečnostný softvér, čo je podľa výskumníkov čoraz atraktívnejší trend pre sofistikovaných aktérov hľadajúcich privilegovaný prístup k systémom pri súčasnom obchádzaní bežných obranných mechanizmov.
Zero-day zraniteľnosti zneužité pred vydaním záplat
Microsoft potvrdil, že obe zraniteľnosti boli zneužívané v praxi ešte pred tým, ako sa stali verejne dostupné opravy, čím ich zaradil medzi zero-day chyby.
Závažnejšia z nich, CVE-2026-41091, sa týka Malware Protection Engine verzie 1.1.26030.3008 a starších. Tento engine je zodpovedný za základné antivírusové funkcie vrátane skenovania malvéru, detekcie hrozieb a nápravy v rámci produktov Microsoft Defender.
Podľa Microsoftu chyba pramení zo slabiny „nesprávneho rozlíšenia odkazu pred prístupom k súboru“, v bezpečnostných kruhoch známej ako zraniteľnosť „link following“. Úspešné zneužitie umožňuje útočníkom eskalovať oprávnenia na úroveň SYSTEM — najvyššiu dostupnú vrstvu oprávnení vo windowsových systémoch.
Prístup na úrovni SYSTEM útočníkom prakticky udeľuje takmer úplnú kontrolu nad napadnutými zariadeniami. Po získaní zvýšených oprávnení môžu škodliví aktéri inštalovať malvér, vypínať bezpečnostné ochrany, manipulovať so systémovými súbormi, zbierať prihlasovacie údaje alebo sa laterálne pohybovať naprieč podnikovými sieťami.
Nebezpečenstvo zraniteľností eskalácie oprávnení v bezpečnostnom softvéri spočíva v tom, že môžu podkopať práve tie ochrany, na ktoré sa organizácie spoliehajú. Ak útočník skompromituje samotný antivírusový engine, môže získať dôveryhodné postavenie, ktoré je ťažké odhaliť.
Druhá chyba umožňuje útoky odopretia služby
Druhá zraniteľnosť, sledovaná ako CVE-2026-45498, sa týka Antimalware Platform Microsoft Defender verzie 4.18.26030.3011 a starších.
Na rozdiel od prvej chyby, ktorá umožňuje eskaláciu oprávnení, táto zraniteľnosť útočníkom dovoľuje vyvolať stavy odopretia služby (DoS) na zraniteľných windowsových systémoch. Microsoft uviedol, že úspešné zneužitie môže spôsobiť nestabilitu alebo nedostupnosť dotknutých zariadení.
Chyba sa dotýka širšieho spektra bezpečnostných produktov Microsoftu nad rámec štandardných nasadení Windows Defender, vrátane:
- System Center Endpoint Protection
- System Center 2012 Endpoint Protection
- System Center 2012 R2 Endpoint Protection
- Microsoft Security Essentials
Keďže tieto produkty zostávajú široko nasadené v starších podnikových a vládnych prostrediach, bezpečnostní odborníci varujú, že staršia infraštruktúra môže čeliť zvýšenému ohrozeniu v prípade oneskorenia aktualizácií.
Zraniteľnosti odopretia služby v platformách na ochranu koncových bodov sú obzvlášť znepokojujúce pre podnikové bezpečnostné tímy, pretože môžu počas aktívnych útokov vyradiť monitorovacie kapacity a vytvoriť slepé miesta, ktoré môžu protivníci využiť na nasadenie ransomvéru, exfiltráciu dát alebo vytvorenie perzistencie.
Microsoft vydáva núdzové bezpečnostné aktualizácie
Na riešenie zraniteľností Microsoft vydal aktualizované verzie dotknutých komponentov Defender:
- Malware Protection Engine verzia 1.1.26040.8
- Defender Antimalware Platform verzia 4.18.26040.7
Spoločnosť zdôraznila, že väčšina používateľov by mala dostať aktualizácie automaticky prostredníctvom zabudovaných mechanizmov aktualizácie Microsoft Defender.
V poradenstve priloženom k vydaniu Microsoft uviedol, že predvolené konfigurácie Defendera sú navrhnuté tak, aby automaticky sťahovali a inštalovali definície malvéru aj aktualizácie platformy bez zásahu používateľa.
Organizácie by však mali manuálne overiť nasadenie aktualizácií, najmä v podnikových prostrediach, kde môžu byť politiky aktualizácií centrálne spravované alebo oneskorené.
Ako môžu používatelia overiť, či sú ich systémy opravené
Microsoft poradil používateľom a správcom, aby potvrdili úspešnú inštaláciu bezpečnostných aktualizácií nasledovnými krokmi v nastaveniach zabezpečenia Windows:
- Otvorte aplikáciu Zabezpečenie systému Windows
- Prejdite na „Ochrana pred vírusmi a hrozbami“
- Vyberte „Aktualizácie ochrany“
- Kliknite na „Skontrolovať aktualizácie“
- Otvorte „Nastavenia“ a potom „Informácie“
- Overte, že verzia Antimalware Platform alebo balíka podpisov zodpovedá alebo je vyššia ako opravené verzie
Bezpečnostné tímy spravujúce rozsiahle windowsové prostredia sú tiež vyzývané, aby skontrolovali centralizované dashboardy správy koncových bodov a uistili sa, že žiadne zraniteľné systémy nezostali bez záplat.
CISA nariaďuje federálnym agentúram konať do dvoch týždňov
Závažnosť zraniteľností podčiarkla rýchla reakcia Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry USA (CISA), ktorá formálne pridala obe chyby do svojho katalógu Known Exploited Vulnerabilities (KEV).
Zoznam KEV je vyhradený pre zraniteľnosti, o ktorých federálne úrady predpokladajú, že predstavujú významné aktívne hrozby pre organizácie a vládnu infraštruktúru.
Na základe záväznej operačnej smernice 22-01 sú všetky agentúry federálnej civilnej výkonnej pobočky (FCEB) povinné zabezpečiť dotknuté windowsové systémy do 3. júna.
Vo svojom varovaní CISA zdôraznila, že aktívne zneužívané zraniteľnosti vo široko nasadenom softvéri zostávajú jedným z najčastejších vstupných bodov pre kyberzločincov a útočníkov sponzorovaných štátmi.
„Tento typ zraniteľnosti je častým vektorom útoku pre škodlivých kybernetických aktérov a predstavuje významné riziká pre federálny podnik,“ uviedla agentúra.
CISA tiež nariadila agentúram, aby okamžite postupovali podľa pokynov na zmierňovanie od Microsoftu, alebo v prípade, že opatrenia nemožno uplatniť, prestali používať dotknuté produkty.
V stredu boli do katalógu KEV pridané aj štyri ďalšie zraniteľnosti Microsoftu pochádzajúce z rokov 2008, 2009 a 2010:
- CVE-2010-0806 — Zraniteľnosť use-after-free v Microsoft Internet Explorer, ktorá mohla umožniť vzdialeným útočníkom spustiť ľubovoľný kód.
- CVE-2010-0249 — Ďalšia zraniteľnosť use-after-free v Microsoft Internet Explorer, ktorá mohla umožniť spustenie ľubovoľného kódu vzdialenými útočníkmi.
- CVE-2009-1537 — Zraniteľnosť NULL byte overwrite v Microsoft DirectX, konkrétne vo filtri QuickTime Movie Parser v quartz.dll v DirectShow, ktorá mohla umožniť spustenie ľubovoľného kódu prostredníctvom špeciálne upraveného mediálneho súboru QuickTime.
- CVE-2008-4250 — Zraniteľnosť pretečenia vyrovnávacej pamäte v službe Microsoft Windows Server Service, ktorá umožňuje vzdialené spustenie kódu prostredníctvom škodlivo upravenej požiadavky RPC.
Do zoznamu bola zaradená aj CVE-2009-3459, zraniteľnosť pretečenia vyrovnávacej pamäte haldy v Adobe Acrobat a Reader. Zneužitie tejto chyby prostredníctvom špeciálne upraveného súboru PDF môže viesť k poškodeniu pamäte a spusteniu ľubovoľného kódu.
Rastúci trend: útočníci sa zameriavajú na samotný bezpečnostný softvér
Incident odráža širší vývoj stratégií kybernetických útokov, kde protivníci čoraz viac cieľujú na bezpečnostné platformy, nástroje na ochranu koncových bodov a monitorovací softvér namiesto priameho útoku na aplikácie.
V posledných rokoch útočníci zneužili zraniteľnosti v produktoch hlavných predajcov kybernetickej bezpečnosti vrátane VMware, Ivanti, Palo Alto Networks, integrácií CrowdStrike a samotného Microsoftu.
Bezpečnostné nástroje sú obzvlášť hodnotnými cieľmi, pretože často fungujú so zvýšenými oprávneniami hlboko vo vnútri operačných systémov. Kompromitovanie týchto platforiem môže útočníkom umožniť vyhnúť sa detekcii a zároveň získať široký prístup k podnikovej infraštruktúre.
Platformy na detekciu a reakciu na koncových bodoch (EDR) sa efektívne stali súčasťou moderného povrchu útoku. Bezpečnostný softvér teraz stojí v centre podnikovej infraštruktúry — to znamená, že zraniteľnosti v týchto nástrojoch môžu mať systémové dôsledky.
Potenciálny dopad na podniky a kritickú infraštruktúru
Keďže Microsoft Defender je hlboko integrovaný do windowsových ekosystémov, zraniteľnosti by mohli potenciálne zasiahnuť milióny zariadení po celom svete, vrátane:
- Firemných pracovných staníc
- Vládnych koncových bodov
- Cloudových windowsových serverov
- Vzdelávacích inštitúcií
- Zdravotníckych sietí
- Prostredí kritickej infraštruktúry
Organizácie s oneskorenými cyklami záplatania alebo odpojených mechanizmami aktualizácie môžu zostať ohrozené dlhší čas.
Firmy kybernetickej bezpečnosti tiež varujú, že v najbližších dňoch by sa mohol verejne objaviť kód proof-of-concept exploitu, čo by mohlo urýchliť pokusy o zneužitie zo strany skupín ransomvéru a príležitostných útočníkov.
Výskumníci spravodajstva o hrozbách očakávajú, že útočníci zintenzívnia skenovanie zraniteľných systémov skôr, ako organizácie plne nasadia záplaty.
Odborníci vyzývajú na okamžité overenie záplat
Predpoklady automatickej aktualizácie môžu počas aktívnych kampaní zneužívania vytvárať nebezpečné medzery. Odporúča sa, aby organizácie:
- Okamžite overili verzie platformy Defender
- Auditovali dodržiavanie aktualizácií koncových bodov
- Monitorovali abnormálne procesy na úrovni SYSTEM
- Skontrolovali logy Defendera na neobvyklé správanie
- Izolovali staršie systémy, ktoré nemôžu prijímať aktualizácie
- Urýchlili postupy núdzového nasadenia záplat
Odporúča sa tiež dočasne zvýšiť monitorovanie okolo služieb ochrany koncových bodov s cieľom odhaliť pokusy o manipuláciu alebo podozrivú aktivitu eskalácie oprávnení.
Microsoft čelí pretrvávajúcemu tlaku ohľadom bezpečnostného ekosystému Windows
Toto zverejnenie prichádza uprostred rastúcej kontroly bezpečnostnej odolnosti ekosystému Windows a ústrednej úlohy Microsoftu v globálnej kybernetickej bezpečnostnej infraštruktúre.
Keďže Windows Defender sa vyvinul na dominantnú podnikovú bezpečnostnú platformu integrovanú predvolene vo všetkých moderných nasadeniach Windows, zraniteľnosti v jeho architektúre teraz nesú potenciálne globálne dôsledky.
Spoločnosť čelí narastajúcemu tlaku zo strany vlád a podnikových zákazníkov na posilnenie postupov bezpečného návrhu po niekoľkých profilových bezpečnostných incidentoch ovplyvňujúcich cloudovú infraštruktúru, autentifikačné systémy a nástroje správy koncových bodov v posledných rokoch.
Hoci Microsoft v tomto prípade reagoval rýchlo so záplatami, analytici hovoria, že stav aktívneho zneužívania oboch zraniteľností zdôrazňuje, ako rýchlo útočníci identifikujú a zbrojí chyby v široko používaných bezpečnostných technológiách.
Čo bude nasledovať
V najbližších dňoch očakávame, že sa objavia ďalšie technické detaily o oboch zraniteľnostiach, keďže obrancovia analyzujú vzorce útokov a metódy zneužívania.
Zatiaľ zostávajú kybernetické agentúry a podnikoví obrancovia sústredení na rýchle nasadenie záplat a posúdenie expozície.
Keďže zraniteľnosti sú už potvrdené ako aktívne zneužívané, okno pre zmierňovanie je úzke.
Organizácie, ktoré odložia aktualizácie, môžu čeliť zvýšenému riziku útokov eskalácie oprávnení, prerušení služieb alebo širšieho sieťového kompromisu — najmä keď aktéri hrozieb pretekajú o zneužívanie neopravených systémov skôr, než budú plne nasadené obrany.
Viac informácii:
https://www.linkedin.com/pulse/warning-2-microsoft-defender-zerodays-actively-tuzue
https://thehackernews.com/2026/05/microsoft-warns-of-two-actively.html