Kleiner Nachtrag rund um Windows und den Defender. Microsoft hat zum 19. Mai 2026 zwei 0-Day-Schwachstellen CVE-2026-41091 und CVE-2026-45498 im Defender durch Update der Defender Antimalware Platform geschlossen. Die Schwachstellen betrafen die Defender Antimalware Platform Version 4.18.26030.3011 und älter.
Bei CVE-2026-41091 handelt es sich um eine Microsoft Defender Elevation of Privilege-Schwachstelle (CVSS 3.1 Score 7.8). Eine fehlerhafte Linkauflösung vor dem Dateizugriff ("Link Following") in Microsoft Defender ermöglicht es einem autorisierten Angreifer, lokal Berechtigungen zu erweitern. Die Schwachstelle war öffentlich bekannt und wurde bereits ausgenutzt.
Bei CVE-2026-45498 handelt es sich um eine Microsoft Defender Denial of Service-Schwachstelle (CVSS 3.1 Score 4.0). Auch diese Schwachstelle war öffentlich bekannt und wurde bereits ausgenutzt. Die Kollegen von Bleeping Computer hatten in diesem Artikel noch einige Informationen zusammen getragen.
MVP: 2013 – 2016
Snip mit Übersetzung von der Quelle die Günter von bleepingcomputer.com verlinkt hat:
[…]
Laut Microsoft ermöglicht eine erfolgreiche Auswertung Bedrohungsakteuren, Denial-of-Service (DoS)-Zustände auf ungepatchten Windows-Geräten auszulösen.
Microsoft hat die Malware Protection Engine-Versionen 1.1.26040.8 bzw. 4.18.26040.7 veröffentlicht, um die beiden Sicherheitslücken zu beheben, und hinzugefügt, dass Kunden keine Maßnahmen ergreifen müssen, um ihre Systeme zu schützen, da "die Standardkonfiguration in der Microsoft-Antimalware-Software dazu beiträgt, dass Malware-Definitionen und die Windows Defender Antimalware-Plattform automatisch auf dem neuesten Stand gehalten werden".
Benutzer sollten jedoch weiterhin überprüfen, ob Windows Defender Antimalware Platform-Updates und Malware-Definitionen so konfiguriert sind, dass sie automatisch installiert werden und überprüfen, ob das Update installiert wurde, indem die folgenden Schritte ausgeführt werden:
– Öffnen Sie das Windows Security-Programm. Geben Sie beispielsweise "Sicherheit" in die Suchleiste ein und wählen Sie dann das Windows-Sicherheitsprogramm aus.
– Wählen Sie im Navigationsbereich Viren- und Bedrohungsschutz aus.
– Klicken Sie dann im Abschnitt Viren- und Bedrohungsschutz auf Schutzaktualisierungen.
– Wählen Sie Nach Updates suchen.
– Wählen Sie im Navigationsbereich Einstellungen aus, und wählen Sie dann About.
– Untersuchen Sie die Antimalware ClientVersion-Nummer. Das Update wurde erfolgreich installiert, wenn die Malware Protection Platform-Versionsnummer oder die Signaturpaket-Versionsnummer mit der Versionsnummer übereinstimmt oder diese überschreitet, die Sie als installiert zu überprüfen versuchen.
[/…]
"Windows 10 IoT Enterprise LTSC 2021":
Wenn ich über die Systemsteuerung und Viren&Bedrohungsschutz die Defender-Updates durchführe, dann erhalte ich diese Versionen:
Antimalware-Clientversion: 4.18.26030.3011
Modulversion: 1.1.26040.8
Laut dem Bleeping-Computer Artikel ist diese Antimalware-Clientversion noch nicht gepatcht (CVE-2026-45498).
Danach habe ich die aktuelle Defender-Engine inklusive der Signaturen von dort runtergeladen und manuell installiert:
*ttps://www.microsoft.com/en-us/wdsi/defenderupdates
An den beiden Versionen hat sich aber nichts geändert, obwohl laut der verlinkten Microsoft-Webseite die folgenden Versionen hätten installiert werden sollen:
Engine Version: 1.1.26040.8
Platform Version: 4.18.26040.7
Nur die "Modulversion" = "Engine Version" stimmt, aber nicht die "Antimalware-Clientversion" = "Platform Version".
Warum gibt es da überhaupt jeweils zwei unterschiedliche Bezeichnungen?
Woran liegt die zu niedrige Versionsnummer 4.18.26030.3011?
Ist die "Platform Version" nur für Windows 11 gültig, aber nicht für Windows 10?
Der Download-Link sollte aber für beide Windows-Versionen gelten und eine extra Versionsnummer für Windows 10 steht da nicht.
Hat Microsoft nur die Hälfte der CVEs gepatcht?
Hat Microsoft Windows 10 vergessen?
Ist nur die Modulversion wichtig, aber nicht die Clientversion bzw Platform Version?
Kaum überprüft man mal irgend etwas schon passt mal wieder etwas nicht.
Immer der selbe Mist bei Microsoft.
Wir sind hier aber nicht in der Kirche, wo man ganz fest dran glauben muss, nur weil der Vorbeter MS irgend eine Behauptung aufstellt.
WDSI ist leider nicht vollständig.
Mpam reicht nicht.
Updatet (hoffentlich auch bei dir) die Platform Version auf 418.26040.7:
*ttps://www.catalog.update.microsoft.com/Search.aspx?q=KB4052623
Bei mir tat sich dann gar nichts, bis ich nach 5 min auf die Idee kam, mal im Defender Viren&Gedöns reinzuschauen der mich zum Neustart aufforderte….
Die Readme sind mal wieder komplett für den Ar###.
Jetzt funktioniert es mit dem aktuellen Update über die Systemsteuerung ("Released: 5/21/2026 4:43:27 PM").
Die Antimalware-Clientversion passt: 4.18.26040.7
Der Unterschied:
Der Dienst wurde jetzt automatisch beendet und es gibt einen Button, um den Dienst manuell neu zu starten.
Vorher wurde der Dienst nicht automatisch beendet und nicht neu gestartet.
Ein Neustart des Computers war bei mir nicht nötig.
Vermutlich ging Microsoft aber vorher davon aus, dass Computer regelmäßig täglich neugestartet werden.
Da hat Microsoft zum Glück zügig nachgebessert.
Den Link von robbi habe ich dafür nicht benötigt, aber trotzdem danke für die Hilfe.
Du hast ja auch Iot-LTSC Gedöns, vielleicht lags daran….fiel mir grad auf.
Hab hier Wald und Wiese (W10 Pro), zickt aber auch rum.
Windows 11 Enterprise LTSC 2024 (24H2) hat die 26040.7 bekommen.