CVE-2026-41091

Microsoft Defender

ВЫСОКИЙ РИСК

Вероятность (EPSS) 8.0%

Тяжесть (CVSS) CVSS 7.8

Дата обнаружения

2026-05-20

Профиль угрозы (Вектор)

Доступ

Локально

Сложность

Низкая

Привилегии

Юзер

Жертва

Бездействует

Строка: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Официальное описание

Microsoft Defender contains a link following vulnerability that allows an authorized attacker to elevate privileges locally.

Технический анализ и план устранения

Суть уязвимости

CVE-2026-41091 представляет собой уязвимость типа Link Following (следование по ссылкам) в компонентах Microsoft Defender. Авторизованный злоумышленник с низким уровнем привилегий может создать символическую ссылку (symlink) или точку соединения (junction point) в директории, к которой имеет доступ антивирусный движок. При выполнении операций сканирования или очистки файлов Microsoft Defender, обладающий системными привилегиями (SYSTEM), следует по этой ссылке. Это позволяет атакующему манипулировать защищенными системными файлами, изменять их права доступа или подменять содержимое, что в конечном итоге приводит к локальному повышению привилегий (LPE) до уровня SYSTEM.

Как исправить

Основным способом устранения является обновление движка Microsoft Defender (Antimalware Engine) и определений до актуальной версии, в которой исправлена логика обработки путей. Для проверки текущей версии и принудительного обновления выполните следующие действия:

Проверьте версию установленного движка (Engine Version):

Get-MpComputerStatus | select AMEngineVersion

Запустите процесс обновления сигнатур и компонентов:

Update-MpSignature

Убедитесь, что в Центре обновления Windows (Windows Update) установлены все критические исправления безопасности для системы.

Временные меры

Если немедленное обновление невозможно, рекомендуется применить следующие компенсационные меры:

Ограничьте права пользователей на создание символических ссылок через групповые политики (GPO):

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create symbolic links

Настройте аудит создания процессов и доступа к объектам для мониторинга подозрительной активности в системных временных папках:

auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable

Используйте правила сокращения направлений атак (ASR) для блокировки создания исполняемых файлов в папках Temp:

Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc7777a85 -AttackSurfaceReductionRules_Actions Enabled

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

Обсуждение и опыт коллег

Чтобы оставить комментарий, необходимо войти или зарегистрироваться.

Пока никто не поделился опытом.
Станьте первым!

← Вернуться к списку уязвимостей