Notebookcheck Logo

Microsoft patcht Defender zero-days uitgebuit in live aanvallen

Microsoft brengt noodpatches uit voor Defender voor twee actief uitgebuite zero-days.
ⓘ Microsoft.com
Microsoft brengt noodpatches uit voor Defender voor twee actief uitgebuite zero-days.
Microsoft heeft out-of-band patches uitgegeven voor twee actief geëxploiteerde Defender zero-days, RedSun en UnDefend, nadat Huntress had bevestigd dat deze in de praktijk in aanvallen werden gebruikt.
Business Desktop Hack / Data Breach Laptop / Notebook Microsoft Software Windows

Op 21 mei 2026 bracht Microsoft out-of-band patches uit voor twee Windows Defender zero-days die echte aanvallen al hadden bevestigd. Onderzoeker Chaotic Eclipse onthulde beide kwetsbaarheden, algemeen bekend als RedSun en UnDefend, zonder gecoördineerde openbaarmaking. Ze hadden geen CVE's en geen fixes toen ze voor het eerst werden vrijgegeven. Eindpuntbeveiligingsbedrijf Huntress bevestigde actieve exploitatie voordat de patches bestonden.

Wat de twee zero-days doen

De ernstigste van de twee, CVE-2026-41091heeft een CVSS-score van 7.8 en is gericht op de Microsoft Malware Protection Engine. Het lek komt voort uit een onjuiste linkresolutie vóór bestandstoegang, waardoor een laaggeprivilegieerde aanvaller een symbolische link of directoryknooppunt kan manipuleren tijdens een Defender-scan en kan escaleren naar volledige controle op SYSTEM-niveau. Er zijn geen verhoogde startmachtigingen vereist.

De tweede, CVE-2026-45498is gewaardeerd met CVSS 4.0 en is gericht op het Microsoft Defender Antimalware Platform. Het werkt als een denial-of-service tegen de beschermingsengine zelf, waardoor definitie-updates stilletjes worden geblokkeerd en het vermogen van Defender om nieuwe bedreigingen te detecteren wordt aangetast. De fout treft System Center Endpoint Protection, System Center 2012 R2 en 2012 Endpoint Protection, en Security Essentials naast standaard Defender-installaties. Geen van beide kwetsbaarheden veroorzaakt een zichtbare waarschuwing voor de gebruiker of beheerder tijdens uitbuiting.

Wat de patch dekt en wat open blijft

Beide CVE's zijn opgelost in Malware Protection Engine versie 1.1.26040.8 en Antimalware Platform versie 4.18.26040.7. Microsoft levert de fixes automatisch via het ingebouwde updatemechanisme van Defender. Beheerders moeten controleren of hun implementaties deze versies of nieuwere versies draaien, vooral in air-gapped of beheerde omgevingen waar automatische updates vertraagd kunnen zijn.

CISA heeft beide kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities catalogus op 20 mei 2026, waardoor Federal Civilian Executive Branch agentschappen tot 3 juni de tijd hebben om de patching te bevestigen. Dezelfde engine-update die CVE-2026-41091 verhelpt, verhelpt ook een derde fout, CVE-2026-45584, een heap-gebaseerde bufferoverloop met een CVSS van 8.1 waardoor code op afstand kan worden uitgevoerd zonder interactie van de gebruiker. Het is nog niet bevestigd dat CVE-2026-45584 in het wild wordt gebruikt.

RedSun en UnDefend zijn de vierde en vijfde zero-days die in de afgelopen zes weken zijn uitgebracht door Chaotic Eclipse, allemaal gericht op Windows beveiligingscomponenten. MiniPlasma, die SYSTEM toegang geeft op volledig gepatchte Windows 11 machines via het Cloud Filter stuurprogramma, blijft ongepatcht. Voor meer over deze onthulling en de context ervan binnen de bredere reeks, zie ons eerdere rapport:

Google LogoAdd as a preferred source on Google
Mail Logo

Gelijkaardige Artikels

> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2026 05 > Microsoft patcht Defender zero-days uitgebuit in live aanvallen
Darryl Linington, 2026-05-22 (Update: 2026-05-22)