Microsoft は 2026 年 5 月 19 日、Defender (Microsoft Malware Protection Engine) に存在する 2 件の脆弱性 CVE-2026-41091 と CVE-2026-45498 を公開しました。アドバイザリは両件とも "Exploitation Detected" を付しており、CISA は 5 月 21 日に Known Exploited Vulnerabilities (KEV) カタログに追加。Binding Operational Directive 22-01 により連邦民間行政機関は 2026 年 6 月 3 日までに修正適用を義務付けられています。
主なポイント
- CVE-2026-41091 (CVSS 7.8) は Malware Protection Engine がファイル参照前にシンボリックリンクを正しく解決しない欠陥で、ローカルの攻撃者が SYSTEM 権限への昇格に悪用可能
- CVE-2026-45498 (CVSS 4.0) は Defender 自体を機能停止させる DoS 脆弱性で、エンドポイント保護を無効化したうえで別の攻撃を仕掛ける踏み台になる
- いずれも実環境で active exploitation が確認されており、攻撃の組み合わせ (DoS で Defender 停止 ⇒ 別マルウェア投入) が現実的な懸念
- 修正は Antimalware Platform 4.18.26040.7 以降 / Engine 1.1.26040.8 以降。Defender Antivirus は通常クラウド更新で自動配信されるため、企業環境は配信状況の確認が要点
- 同日 Help Net Security と BleepingComputer も同件を報じ、攻撃手法・スコープの詳細は未公開ながら Microsoft の調査チームによる対応が継続中
出典: Microsoft warns of new Defender zero-days exploited in attacks