Разработчики Microsoft выпустили внеплановые обновления для исправления двух 0-day-уязвимостей в Microsoft Defender, которые уже применяются в реальных атаках. Речь идет о багах CVE-2026-41091 и CVE-2026-45498, известных под названиями RedSun и UnDefend.

Первая проблема (7,8 балла по шкале CVSS) представляет собой LPE-уязвимость, связанную с некорректной обработкой ссылок перед доступом к файлам (link following). Эксплуатация бага позволяет локальному атакующему получить привилегии SYSTEM.

Вторая уязвимость набрала лишь 4,0 балла по шкале CVSS, однако тоже оказалась опасной. Баг позволяет обычному пользователю перевести Defender в состояние отказа в обслуживании и, по сути, ломает обновление антивирусных сигнатур.

Уязвимости затрагивали Microsoft Malware Protection Engine 1.1.26030.3008 и более ранние версии, а также Microsoft Defender Antimalware Platform 4.18.26030.3011 и ниже. Проблемы были устранены в обновлениях 1.1.26040.8 и 4.18.26040.7 соответственно.

В Microsoft подчеркивают, что системы с отключенным Defender не подвержены эксплуатации, даже если файлы антивируса присутствуют на диске. Также в компании заявили, что большинству пользователей не нужно ничего делать, так как обновления устанавливаются автоматически.

При этом Агентство по кибербезопасности и защите инфраструктуры (CISA) уже внесло обе уязвимости в каталог эксплуатируемых проблем (Known Exploited Vulnerabilities, KEV), а федеральным ведомствам США приказали исправить их до 3 июня 2026 года. В CISA напомнили, что подобные баги регулярно используются атакующими против корпоративной инфраструктуры.

В выпущенных бюллетенях безопасности Microsoft не раскрывает практически никаких технических деталей, однако, по словам Microsoft MVP Фабиана Бадера (Fabian Bader), исправленные уязвимости связаны с проблемами BlueHammer, RedSun и UnDefend, информацию и эксплоиты для которых в прошлом месяце опубликовал в открытом доступе ИБ-исследователь Chaos Eclipse (он же Nightmare-Eclipse).

Вскоре после выхода патчей сам Nightmare Eclipse подтвердил, что CVE-2026-45498 соответствует багу UnDefend, а CVE-2026-41091 — RedSun.

Напомним, что ранее исследователь писал, что публикует эксплоиты в знак протеста против того, как специалисты Microsoft Security Response Center (MSRC) обращаются с ИБ-специалистами. По его словам, представители Microsoft угрожали ему и обещали «разрушить его жизнь».

В новом послании Nightmare Eclipse пообещал выпустить следующий «релиз» 14 июля 2026 года и продолжил угрожать компании. Он заявляет, что теперь Microsoft удалила его аккаунт на GitHub и учетную запись Microsoft, «публично унизила» и отказалась от коммуникаций. Кроме того, он намекнул, что располагает некими документами, связанными с компанией, хотя пока не готов их опубликовать.