微软披露Microsoft Defender中存在的2个安全漏洞 可被黑客用于本地提升权限
微软披露 Microsoft Defender 中存在的 2 个安全漏洞,可被黑客用于本地权限提升到 SYSTEM 权限。目前微软已经通过软件更新修复漏洞,用户只需要保持联网即可,Microsoft Defender 会自动下载和安装更新。
微软日前发布安全公告透露已经修复的 Microsoft Defender 防病毒软件中的安全漏洞,微软已经通过最新发布的平台更新和软件定义更新修复漏洞,使用该软件的用户只需要保持联网即可,Microsoft Defender 会自动接收并安装更新以封堵漏洞。
漏洞信息如下:
CVE-2026-41091:该漏洞评分为 7.8 分,成功利用此漏洞的黑客可以获得 SYSTEM 级别的权限。微软称漏洞原因是 Microsoft Defender 在文件访问之前的链接解析不当,这会导致本地用户提升到系统级权限。
CVE-2026-45498:该漏洞评分为 4.0 分,该漏洞被利用也只能在本地发起拒绝服务攻击,因此没有太严重的危害所以评分非常低,已经主动禁用 Microsoft Defender 的用户无论是否安装更新都不会受到这些漏洞的影响。
检查和升级新版本:
有兴趣的用户可以转到 Microsoft Defender 检查更新以及查看当前是否已经安装最新版,检查更新方法:在 Microsoft Defender 中点击病毒和威胁防护、防护更新、保护更新,点击检查更新按钮即可自动下载最新版本。
完成更新后点击左下角设置按钮点击关于,这里会显示反恶意软件客户端版本、引擎版本、防病毒软件版本和反间谍软件版本,按微软所说已经修复漏洞的反恶意软件客户端版本为 4.18.26040.7 或更高版本、引擎版本为 1.1.26040.8 或更高版本。
漏洞信息如下:
CVE-2026-41091:该漏洞评分为 7.8 分,成功利用此漏洞的黑客可以获得 SYSTEM 级别的权限。微软称漏洞原因是 Microsoft Defender 在文件访问之前的链接解析不当,这会导致本地用户提升到系统级权限。
CVE-2026-45498:该漏洞评分为 4.0 分,该漏洞被利用也只能在本地发起拒绝服务攻击,因此没有太严重的危害所以评分非常低,已经主动禁用 Microsoft Defender 的用户无论是否安装更新都不会受到这些漏洞的影响。
检查和升级新版本:
有兴趣的用户可以转到 Microsoft Defender 检查更新以及查看当前是否已经安装最新版,检查更新方法:在 Microsoft Defender 中点击病毒和威胁防护、防护更新、保护更新,点击检查更新按钮即可自动下载最新版本。
完成更新后点击左下角设置按钮点击关于,这里会显示反恶意软件客户端版本、引擎版本、防病毒软件版本和反间谍软件版本,按微软所说已经修复漏洞的反恶意软件客户端版本为 4.18.26040.7 或更高版本、引擎版本为 1.1.26040.8 或更高版本。
关于作者
评论1次
7.8分这个本地提权漏洞值得关注,虽然需要先拿到个低权限shell才能用,但一旦用上了就是system权限,动静挺大的。
链接解析不当这个描述大概率是符号链接或NTFS交接点那套玩法,攻击思路就是构造恶意路径让defender去访问的时候走错误的链接,从而以高权限身份写入/覆盖关键位置。这类提权有个特点就是打完后本地的defender版本会留痕迹,稍微懂点应急的排查一下日志就能溯到。
不过说实话,现在真正用defender做主力防护的目标机器不多,很多企业都是塞门铁克或者ESET,所以这漏洞拿来打个人渗透或者小型内网还行,大企业目标基本用不上。
要玩的话,核心就是找那些defender开着、而且自己已经是低权限shell的目标,搜一下defender版本号低于刚才说的那两个版本,然后走符号链接那条路梭哈。工具化的exp估计很快就会有,到时候直接一把梭就行。