微软修补在实时攻击中被利用的卫士零漏洞

2026 年 5 月 21 日，微软为两个已被真实攻击证实的 Windows Defender 零漏洞推送了带外补丁。研究人员 Chaotic Eclipse 在未经协调的情况下披露了这两个公开名为 RedSun 和 UnDefend 的漏洞。它们在首次发布时没有 CVE，也没有修复程序。端点安全公司 Huntress 在修补程序出现之前就确认了漏洞的主动利用。

这两个零日漏洞的作用

CVE-2026-41091 是两个零点中较为严重的一个。的 CVSS 得分为 7.8，目标是微软恶意软件保护引擎。该漏洞源于文件访问前的不当链接解析，它允许低权限攻击者在 Defender 扫描期间操纵符号链接或目录结点，并升级到完全的 SYSTEM 级控制。无需提升启动权限。

第二个漏洞是CVE-2026-45498被评为 CVSS 4.0，针对Microsoft Defender Antimalware Platform.它的功能是对保护引擎本身进行拒绝服务，悄悄阻止定义更新，降低 Defender 检测新威胁的能力。除标准的 Defender 安装外，该漏洞还影响 System Center Endpoint Protection、System Center 2012 R2 和 2012 Endpoint Protection 以及 Security Essentials。在利用过程中，这两个漏洞都不会向用户或管理员触发可见警报。

补丁涵盖的内容和仍未解决的问题

这两个 CVE 在恶意软件保护引擎版本 1.1.26040.8 和反恶意软件平台版本 4.18.26040.7 中都得到了解决。微软通过 Defender 的内置更新机制自动提供修复。管理员应确认其部署正在运行这些版本或更新版本，特别是在自动更新可能会延迟的空中封堵或托管环境中。

CISA 于 2026 年 5 月 20 日将这两个漏洞添加到其已知漏洞利用目录，让联邦文职行政机构在 6 月 3 日前确认修补。解决 CVE-2026-41091 的同一引擎更新还解决了第三个漏洞 CVE-2026-45584，这是一个基于堆的缓冲区溢出，CVSS 为 8.1，允许在无用户交互的情况下远程执行代码。CVE-2026-45584 尚未被证实在野外被利用。

RedSun 和 UnDefend 是 Chaotic Eclipse 在过去六周内发布的第四个和第五个零日漏洞，均针对 Windows 安全组件。 MiniPlasma通过云过滤器驱动程序在已打补丁的 Windows 11 机器上提供 SYSTEM 访问权限，但仍未打补丁。有关此次披露的更多信息及其在更广泛系列中的背景，请参阅我们之前的报告：