image

Beveiligingslekken in Microsoft Defender actief misbruikt bij aanvallen

donderdag 21 mei 2026, 10:10 door Redactie, 5 reacties

Aanvallers maken actief misbruik van twee kwetsbaarheden in Microsoft Defender, de antivirussoftware van Microsoft die onder andere in Windows is ingebouwd. Het techbedrijf heeft updates uitgerold om de beveiligingslekken (CVE-2026-41091 en CVE-2026-45498) te verhelpen. Details over de aanvallen zijn niet door Microsoft gegeven.

CVE-2026-41091 betreft een kwetsbaarheid waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen naar die van SYSTEM. Op deze manier kan er volledige controle over het systeem worden verkregen. Microsoft omschrijft het probleem als "Improper link resolution before file access ('link following')", maar geeft geen verdere informatie. Wel wordt er gewezen naar deze CWE-omschrijving van het soort kwetsbaarheid.

Het beveiligingsbulletin van CVE-2026-45498 bevat helemaal geen informatie over het beveiligingslek, behalve dat het tot een denial of service kan leiden. Wel laat Microsoft weten dat organisaties en gebruikers geen actie hoeven te ondernemen. Updates voor het Defender Antimalware Platform worden in de standaardconfiguratie automatisch geïnstalleerd. Gebruikers kunnen wel via de updatefunctie controleren of ze de patches al hebben ontvangen.

Reacties (5)
21-05-2026, 12:24 door Anoniem
Voor de CIO's die vinden dat er ook op Linux antivirus moet draaien. O.a. hierom wordt er in Linux geen antivirus geïnstalleerd. Dus Microsoft Defender for Linux ook niet. Te gevaarlijk en te veel resources. Er zijn betere methodes. B.v. Red Hat Lightspeed
21-05-2026, 15:38 door Anoniem
Door Anoniem: Voor de CIO's die vinden dat er ook op Linux antivirus moet draaien. O.a. hierom wordt er in Linux geen antivirus geïnstalleerd. Dus Microsoft Defender for Linux ook niet. Te gevaarlijk en te veel resources. Er zijn betere methodes. B.v. Red Hat Lightspeed
Ook op Linux is een EDR zeer verstandig, hoe gaat u anders zien dat iemand mogelijk Copy Fail e.d. heeft proberen uit te voeren op uw systemen?
22-05-2026, 06:17 door Anoniem
Door Anoniem: Voor de CIO's die vinden dat er ook op Linux antivirus moet draaien. O.a. hierom wordt er in Linux geen antivirus geïnstalleerd. Dus Microsoft Defender for Linux ook niet. Te gevaarlijk en te veel resources. Er zijn betere methodes. B.v. Red Hat Lightspeed

En voor de totaal onkundige beheerders, EDR is ook op linux een verstandige keuze. En redhat lightspeed geen info sturen naar de centrale defender siem omgeving. Je wil niet 10 oplossingen voor je soc.
22-05-2026, 10:09 door Anoniem
Door Anoniem:
Door Anoniem: Voor de CIO's die vinden dat er ook op Linux antivirus moet draaien. O.a. hierom wordt er in Linux geen antivirus geïnstalleerd. Dus Microsoft Defender for Linux ook niet. Te gevaarlijk en te veel resources. Er zijn betere methodes. B.v. Red Hat Lightspeed

En voor de totaal onkundige beheerders, EDR is ook op linux een verstandige keuze. En redhat lightspeed geen info sturen naar de centrale defender siem omgeving. Je wil niet 10 oplossingen voor je soc.

Precies dat. Zelfde argument jaren gehoord over Apple Mac. Vorige week een dev/ops engineer die malware binnenhaalde op zijn Mac doordat die een Google Sponsored link aanklikte en malware infected software installeerde. Kan iedereen gebeuren in een moment van onoplettendheid. Microsoft Defender trok aan de bel. Als Security Officer wil ik nu ook Defender op Linux van de DevOps engineers, ik weet dat het vloeken in de kerk is. Qua resource honger valt het mee, draai het op mijn eigen laptop. Ik vermoed dat er enkel logging wordt doorgestuurd en dat aan de hand daarvan een alert wordt verzonden. Het script werd niet gestopt helaas, maar wel gedetecteerd.
22-05-2026, 12:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Voor de CIO's die vinden dat er ook op Linux antivirus moet draaien. O.a. hierom wordt er in Linux geen antivirus geïnstalleerd. Dus Microsoft Defender for Linux ook niet. Te gevaarlijk en te veel resources. Er zijn betere methodes. B.v. Red Hat Lightspeed

En voor de totaal onkundige beheerders, EDR is ook op linux een verstandige keuze. En redhat lightspeed geen info sturen naar de centrale defender siem omgeving. Je wil niet 10 oplossingen voor je soc.

Precies dat. Zelfde argument jaren gehoord over Apple Mac. Vorige week een dev/ops engineer die malware binnenhaalde op zijn Mac doordat die een Google Sponsored link aanklikte en malware infected software installeerde. Kan iedereen gebeuren in een moment van onoplettendheid. Microsoft Defender trok aan de bel. Als Security Officer wil ik nu ook Defender op Linux van de DevOps engineers, ik weet dat het vloeken in de kerk is. Qua resource honger valt het mee, draai het op mijn eigen laptop. Ik vermoed dat er enkel logging wordt doorgestuurd en dat aan de hand daarvan een alert wordt verzonden. Het script werd niet gestopt helaas, maar wel gedetecteerd.

Defender resources vallen echt wel mee.

Ook devOps engineers en elke beheerder behoort gewoon veilig te werken en dat betekend dat daar tools op moeten die het lastiger maken, Net zoals het een noodzaak is om Applockers te gebruiken. Onbekende applicaties horen niet te kunnen starten, ook als dat op een ontwikkel laptop van een ontwikkelaar is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.