對於許多工程師來說,防毒軟體或端點防護工具(EDR)通常被視為系統的守護者,但從安全性角度來看,這些工具因為需要極高的系統權限才能運作,反而成了駭客眼中極具價值的攻擊目標。近期微軟披露了兩個在野外被積極利用的 Microsoft Defender 漏洞,其中一個涉及權限提升,這對系統安全構成了嚴重威脅。
權限提升漏洞的技術脈絡與風險
首先關注的是 CVE-2026-41091,這是一個權限提升漏洞(Privilege Escalation),其 CVSS 評分高達 7.8。在作業系統中,權限提升是指攻擊者利用漏洞,將原本僅有普通使用者權限的帳號,提升至更高權限的狀態。
這次漏洞的核心問題在於連結解析錯誤(Improper link resolution),技術上稱為 Link Following 漏洞。簡單來說,當 Defender 在存取檔案前處理符號連結(Symbolic Link)或硬連結時,沒有正確驗證連結的指向對象。攻擊者可以構造特殊的連結,誘導具有高權限的 Defender 進程去操作或修改系統關鍵檔案。
由於 Microsoft Defender 通常以 SYSTEM 權限(Windows 中最高權限等級)運行,一旦攻擊者成功利用此漏洞,就能直接獲得 SYSTEM 權限。這意味著攻擊者可以完全控制該台電腦,繞過所有安全限制,安裝後門或竊取核心機密。
拒絕服務漏洞的影響
另一個漏洞 CVE-2026-45498 則屬於拒絕服務攻擊(Denial of Service, DoS),CVSS 評分較低,為 4.0。DoS 的目的不是竊取資料,而是讓服務崩潰或無法正常運作。在防護軟體中發生 DoS 攻擊非常危險,因為如果 Defender 被癱瘓,系統將失去即時監控能力,為後續的惡意程式植入創造機會。
實務上的修補與驗證
微軟已經針對這兩個漏洞發布了更新。對於大多數使用者,Defender 的定義檔與保護引擎會自動更新,因此不需要手動安裝補丁。但對於企業管理員或對安全性要求極高的工程師,建議手動驗證版本。
驗證步驟為進入 Windows 安全中心,在病毒與威脅防護的更新選項中檢查更新,並在關於頁面確認 Antimalware Client Version 是否已更新至 1.1.26040.8 或 4.18.26040.7 以上版本。
安全警訊的整體趨勢
值得注意的是,美國 CISA(網路安全與基礎設施安全局)已將這兩個漏洞列入已知被利用漏洞目錄(KEV Catalog)。KEV 目錄的重要性在於它告訴維運人員:這些漏洞不再是理論上的風險,而是已經有駭客在實際使用。
此外,近期微軟產品的漏洞爆發頻率增加,包括 Exchange Server 的跨站指令碼(XSS)漏洞,以及一些甚至追溯到 2008 年至 2010 年的舊版 Internet Explorer 與 DirectX 漏洞被重新利用。這提醒我們,即使是極其古老的系統組件,只要仍有人在使用,就永遠是潛在的攻擊路徑。
總結與建議
這次事件給工程師的啟示是:任何運行在高權限下的軟體都是潛在的風險點。面對這類漏洞,最有效的對策依然是保持軟體更新,並實行最小權限原則,儘量減少不必要的高權限進程運行。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。