📋 漏洞概述

Microsoft Defender存在的链接跟随漏洞，允许本地授权攻击者通过符号链接操作提升权限。

📋 基础信息

🔬 漏洞根因

Microsoft Defender在清理或扫描文件时，未能正确验证符号链接的目标路径。当Defender以系统权限（SYSTEM）访问用户可控的目录时会解析攻击者预先放置的符号链接，导致以高权限对指向的目标文件或注册表项执行意外的删除、替换或写入操作。该缺陷本质在于文件操作前缺少对路径真实性的完整检查，且未将操作限制在预期沙箱范围内。

🎯 攻击场景

1. 攻击者通过低权限用户登录系统，在用户可写的目录（如C:\Users\用户名\AppData\Local\Temp）中创建一个指向受保护系统文件（如C:\Windows\System32\config\SAM）的符号链接。 2. 攻击者诱导或等待Microsoft Defender的任务（例如计划扫描、实时监控或清理隔离区）访问该目录下的某个可触发链接跟随的文件。 3. 当Defender以SYSTEM权限执行文件删除、移动或重命名操作时，跟随该符号链接，实际上操作了指向的系统关键文件（如删除SAM文件）。 4. 系统因缺少关键配置或认证数据库而崩溃，或在下一次重启后进入修复模式；攻击者可在修复阶段通过其他手段进一步获取完整系统控制权或提取凭据。 5. 成功标志：攻击者通过该漏洞提升了权限至SYSTEM，或导致系统拒绝服务，为进一步横向移动奠定基础。

💥 漏洞影响

本地权限提升：低权限用户通过符号链接劫持Defender的系统级文件操作，获得对受保护系统文件或注册表项的写入/删除能力，最终可导致完全控制受感染主机（SYSTEM权限）。此外，可能被用于禁用安全服务或持久化恶意代码。影响Windows环境中的所有Defender实例。

🛡️ 修复建议

优先升级至Microsoft官方发布的包含修复的安全更新（对应Windows月度安全质量更新）。临时缓解措施：配置组策略限制Defender对用户可写目录的扫描深度，或通过AppLocker阻止创建符号链接；在无法修补的环境中，禁用Defender的某些非关键功能（如云提交中的临时文件清理）以降低攻击面。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-41091
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-41091
• 原始来源（CISA-KEV）

🚨 威胁评估

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-22 22:01 | 来源: CISA-KEV