Přejít na hlavní obsah
CIAD

Microsoft opravil dvě bezpečnostní chyby v Defenderu, které útočníci aktivně zneužívali

Dvě zranitelnosti v Microsoft Defenderu umožnily útočníkům převzít kontrolu nad počítačem a vypnout antivirus. Záplaty jsou dostupné od 21. května 2026.

Pokud vaše firma používá Microsoft Defender jako hlavní antivirovou ochranu, jde o informaci, která se vás přímo týká. Microsoft 21. května 2026 vydal mimořádné opravy pro dvě závažné bezpečnostní chyby v Defenderu. Obě byly v době zveřejnění aktivně zneužívány útočníky, a americká vládní agentura CISA je proto zařadila do seznamu Known Exploited Vulnerabilities (KEV), tedy katalogu zranitelností, u nichž je potvrzeno aktivní zneužití v praxi.

Incident znovu potvrzuje, že bezpečnostní software sám o sobě může být vektorem útoku, nikoli jen ochrannou vrstvou.

Co se přesně stalo

První chyba (označená CVE-2026-41091) se nachází v části Defenderu zvané Malware Protection Engine, tedy v jádru, které skenuje soubory. Zranitelnost umožňuje takzvanou eskalaci oprávnění: útočník, který má přístup k počítači jako běžný uživatel, ji může zneužít k získání oprávnění na úrovni SYSTEM, což znamená plnou kontrolu nad celým zařízením. Závažnost chyby je hodnocena skóre CVSS 7.8 (z maximálních 10), což odpovídá kategorii “vysoká”.

Druhá chyba (CVE-2026-45498) způsobuje takzvaný denial-of-service, tedy odmítnutí služby: při jejím zneužití se Defender jednoduše vypne a přestane chránit počítač. Tato chyba má skóre CVSS 4.0, ale právě ona byla aktivně využívána v reálných útocích. Výzkumníci identifikovali konkrétní nástroje útočníků, pojmenované RedSun a UnDefend, pomocí nichž útočníci nejprve Defender deaktivovali a poté do systému nasadili malware (škodlivý software).

Jak proběhla oprava

Záplaty byly vydány mimo běžný záplatovací cyklus Patch Tuesday ve verzích Defender Antimalware Platform 1.1.26040.8 a 4.18.26040.7. Na zařízeních s povolenou automatickou aktualizací proběhla oprava automaticky.

Co od vás vyžadují regulátoři

Americká agentura CISA stanovila federálním agenturám USA povinnost záplaty aplikovat do 3. června 2026. Tato lhůta se přímo vztahuje na americké vládní instituce, ale slouží jako jasný signál naléhavosti i pro evropské organizace.

Co byste měli udělat

  • Ověřte verzi Defender Antimalware Platform na všech spravovaných zařízeních a potvrďte, že záplata verze 1.1.26040.8 nebo 4.18.26040.7 byla aplikována.
  • Zkontrolujte logy detekce za období od 1. května 2026 se zaměřením na pokusy o deaktivaci antivirové ochrany nebo neočekávané změny stavu Defenderu.
  • Zajistěte, aby automatické aktualizace Defenderu nebyly blokovány firemními politikami, GPO nebo konfiguracemi třetích stran.
  • Proveďte revizi privilegovaných účtů: CVE-2026-41091 vyžaduje lokální přístup, takže omezení zbytečných lokálních administrátorských práv snižuje riziko zneužití.
  • Sledujte indikátory kompromitace spojené s exploity RedSun a UnDefend a doplňte je do pravidel SIEM (bezpečnostního monitorovacího systému) a EDR (nástroje pro detekci hrozeb na koncových zařízeních).

Co z toho plyne

Deaktivace antiviru před nasazením malwaru je klasická technika obcházení detekce, kterou využívají jak kriminální skupiny, tak státní aktéři. V organizacích, kde Microsoft Defender tvoří páteřní vrstvu ochrany koncových bodů, jde o zvlášť citlivou situaci. Bezpečnostní nástroje vyžadují záplatování stejně jako každý jiný software. Pokud si nejste jisti, zda opravy proběhly správně, ozvěte se na office@ciad.cz.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog