Was jetzt zählt
CVE-2026-41091 und CVE-2026-45498 betreffen Microsoft Defender beziehungsweise die darunterliegende Malware Protection Engine und Antimalware Platform. Relevant ist nicht nur der monatliche Windows-Patchstand, sondern auch, ob Defender-Komponenten auf verwalteten Clients und Servern tatsächlich aktualisiert wurden.
Als Mindeststand sollten Malware Protection Engine 1.1.26040.8 oder neuer und Microsoft Defender Antimalware Platform 4.18.26040.7 oder neuer nachweisbar sein. In Standardkonfigurationen kommen diese Updates automatisch, in Unternehmensnetzen verzögern aber häufig Proxy-Regeln, getrennte Update-Ringe, VDI-Images, DMZ-Systeme oder isolierte Server.
Prüfpfad für die nächsten Tage
- Abdeckung klären: Windows-Clients, Windows-Server, VDI/Gold Images, DMZ-Systeme, isolierte Netze und Altbestände mit System Center Endpoint Protection separat betrachten.
- Versionen nachweisen: Engine- und Plattformversion aus Defender for Endpoint, Intune, ConfigMgr oder lokal per
Get-MpComputerStatuserfassen. - Stale Systeme priorisieren: Systeme unterhalb des Zielstands nicht in den normalen Patchzyklus verschieben, sondern gezielt aktualisieren oder temporär aus riskanten Netzpfaden nehmen.
- Update-Kanal prüfen: Signatur-/Engine-Updates müssen durch Proxy, TLS-Inspection und Firewall-Regeln sauber erreichbar sein.
- Monitoring schärfen: Defender-Service-Crashes, fehlgeschlagene Updates, deaktivierte Schutzfunktionen und ungewöhnliche lokale Rechteausweitung auf Windows-Systemen enger auswerten.
Schnelle Verifikation
- Stichprobe je Gerätegruppe:
AMEngineVersion,AMProductVersionund letzter Signaturzeitpunkt. - Zentrale Sicht: Geräte mit Defender Health Issues, ausstehenden Plattformupdates oder ungewöhnlich alten Signaturen.
- Ausnahmeprozess: Systeme ohne aktuellen Defender-Stand brauchen Owner, Frist und kompensierende Maßnahme.
Wenn nur ein Schritt sofort geht: Defender-Komponentenstände inventarisieren und stale Systeme aus dem Blindflug holen.