Microsoft cảnh báo hai lỗ hổng trên Defender đang bị khai thác tích cực

Microsoft mới đây đã xác nhận sự tồn tại của hai lỗ hổng bảo mật trong Microsoft Defender đang bị các đối tượng tấn công khai thác tích cực. Các lỗ hổng này bao gồm một lỗi leo thang đặc quyền và một lỗi từ chối dịch vụ (DoS).

Chi tiết các lỗ hổng

• CVE-2026-41091 (Điểm CVSS: 7.8): Đây là lỗ hổng leo thang đặc quyền do lỗi xử lý liên kết (link following) trước khi truy cập tệp tin. Nếu bị khai thác thành công, kẻ tấn công có thể chiếm quyền SYSTEM trên máy tính mục tiêu.
• CVE-2026-45498 (Điểm CVSS: 4.0): Lỗ hổng từ chối dịch vụ (DoS) gây ảnh hưởng đến hoạt động của Defender.

Ngoài ra, Microsoft cũng đã vá một lỗ hổng tràn bộ đệm heap (CVE-2026-45584, điểm CVSS: 8.1) có khả năng dẫn đến thực thi mã từ xa (RCE). Tuy nhiên, hiện chưa có bằng chứng cho thấy lỗ hổng này đã bị khai thác trong thực tế.

Khuyến nghị cập nhật

Các lỗ hổng này đã được khắc phục trong các phiên bản Microsoft Defender Antimalware Platform 1.1.26040.8 và 4.18.26040.7. Microsoft cho biết người dùng không cần thực hiện thao tác thủ công vì các bản cập nhật định nghĩa malware và công cụ bảo vệ sẽ được tự động cài đặt.

Để kiểm tra phiên bản hiện tại, người dùng có thể thực hiện theo các bước sau:

1. Mở ứng dụng Windows Security.
2. Chọn mục Virus & threat protection.
3. Nhấp vào Protection Updates và chọn Check for updates.
4. Vào phần Settings rồi chọn About để kiểm tra số phiên bản Antimalware ClientVersion.

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cũng đã đưa CVE-2026-41091 và CVE-2026-45498 vào danh mục các lỗ hổng bị khai thác thực tế (KEV), yêu cầu các cơ quan chính phủ phải áp dụng bản vá trước ngày 3 tháng 6 năm 2026.

Đáng chú ý, nhà nghiên cứu bảo mật Nightmare-Eclipse đã xác nhận rằng CVE-2026-45498 và CVE-2026-41091 chính là các lỗ hổng zero-day có tên mã lần lượt là “UnDefend” và “RedSun” mà họ đã công bố trước đó.

Nguồn tham khảo: The Hacker News