Windows系统内置的安全防线最近出现了两道裂缝。微软刚刚公开披露旗下Defender防病毒组件存在两个已被黑客武器化的零日漏洞攻击者借助这些缺陷不仅能瘫痪终端防护还能直接拿到系统的最高控制权。这两个漏洞的编号分别是CVE-2026-41091和CVE-2026-45498官方在5月19日的安全公告中确认它们已被实际利用。由于Microsoft Defender预装在每一台受支持的Windows设备上覆盖范围极广这次安全事件的影响面远比普通第三方软件漏洞要大得多。权限提升漏洞让本地攻击者直通SYSTEMCVE-2026-41091属于权限提升类型微软将其定级为重要。问题的根源藏在Defender的扫描逻辑里——当引擎对文件进行访问前链接解析也就是俗称的链接跟踪环节存在缺陷。攻击者只需要在本地构造一个恶意链接或连接点就能诱导Defender在攻击者指定的路径上执行操作。这种手法听起来简单后果却相当严重。一旦利用成功普通用户权限直接跃升为SYSTEM相当于拿到了整台机器的万能钥匙。拿到这个级别的权限后攻击者可以关掉安全软件、植入持久化后门、读取敏感数据甚至创建新的高权限账户。换句话说这个漏洞能把一次原本受限的本地入侵放大成对整个系统的完全掌控。微软的可利用性指数已经标注检测到利用说明野外确实存在活跃攻击。受影响的恶意软件防护引擎版本最高到1.1.26030.3008修复版本是1.1.26040.8。拒绝服务漏洞可让防护体系失声另一个漏洞CVE-2026-45498则瞄准了Defender反恶意软件平台本身。这是一个平台级的拒绝服务缺陷同样已被公开披露并确认在野外遭到利用。攻击者利用这个弱点可以直接让Defender的防护功能崩溃或陷入异常状态。安全软件一旦失声后续的恶意操作就能在几乎没有监控的环境下进行为更隐蔽的长期潜伏创造条件。对于依赖Defender作为终端主要防护手段的企业环境来说这个漏洞的破坏力不容小觑。该漏洞影响的反恶意软件平台版本最高为4.18.26030.3011官方已在4.18.26040.7版本中完成修复。一个容易踩坑的细节关了Defender也可能被扫出漏洞这次更新还暴露出一个很多管理员容易忽略的情况。即使你在系统里禁用了Defender安全扫描器仍然可能把设备标记为存在漏洞。原因很简单——引擎和平台的二进制文件依然留在磁盘上扫描工具只看版本号不看服务是否正在运行。微软专门做了说明这种扫描结果并不代表当前配置真的可被利用但确实会给漏洞管理和合规审计带来困扰。企业在做风险评估时需要区分组件存在和漏洞可被触发这两个概念避免在报告里造成不必要的恐慌。CISA已列入强制修复清单联邦机构只剩两周时间美国网络安全和基础设施安全局CISA反应很快已经把这两个漏洞同时收录进已知被利用漏洞目录KEV。根据BOD 22-01操作指令联邦民事行政部门FCEB必须在2026年6月3日之前完成所有Windows终端和服务器上的修复工作。从5月20日KEV清单发布算起留给这些机构的时间窗口大约只有两周。这种级别的响应速度侧面印证了漏洞的实际威胁程度。CISA的KEV目录不是随便进的只有确认存在野外活跃利用的缺陷才会被收录。企业管理员现在该做什么好消息是普通用户和管理员不需要手动下载补丁。Defender的引擎和平台更新走的是自动通道理论上会静默推送到每台设备。但理论上和实际上往往有差距微软也在公告里特意提醒各组织去核实更新到底有没有落地。建议管理员立刻做以下几件事打开Windows安全中心进入病毒和威胁防护查看保护更新状态必要时手动点击检查更新强制拉取最新版本。在Windows安全中心的设置→关于页面确认反恶意软件客户端版本是否已经达到或超过要求。所有终端的Defender引擎版本不应低于1.1.26040.8反恶意软件平台版本不应低于4.18.26040.7。如果企业有自定义的更新分发管道建议抽查一批设备确认自动更新机制没有在某些环节被拦截或延迟。微软透露Defender引擎通常每月更新一次恶意软件定义库则每天多次刷新。对于规模较大的企业持续验证更新管道的有效性应该成为日常安全运营的一部分而不是每次出漏洞才临时检查。这次更新除了修补这两个零日漏洞还附带了一批纵深防御层面的改进。考虑到Defender不仅内置于Windows还被Microsoft System Center Endpoint Protection和Microsoft Security Essentials等产品复用攻击者显然把这里当成了高价值目标。及时确认版本、保持更新通道畅通是目前最直接有效的应对方式。