אחד הדברים שמעצבן הכי הרבה בעולם האבטחה זה כשמערכת ההגנה עצמה מסכנת אותך. השבוע מיקרוסופט פרסמו עדכונים לשתי פגיעויות חמורות ב-Windows Defender, ושתיהן נכנסו תוך 48 שעות לרשימת KEV של CISA – הרשימה של הפגיעויות שמנוצלות בפועל בשטח.
שתי פגיעויות, שתי בעיות שונות
הראשונה, CVE-2026-41091, היא העלאת הרשאות מקומית ל-SYSTEM. תוקף שכבר רץ על המכונה (לדוגמה דרך מייל זדוני שהמשתמש פתח) יכול דרכה לקבל הרשאות מנהל מערכת. השנייה, CVE-2026-45498, היא Denial of Service – תוקף יכול להפיל את Defender כך שהוא יפסיק לעבוד, ואז להריץ נוזקה שלא נחסמת.
השילוב מסוכן: פגיעות אחת מאפשרת לעלות הרשאות, השנייה מאפשרת לסגור את ההגנה. ביחד הן מאפשרות לתוקף לרוץ עם הרשאות SYSTEM בלי שום אנטי-וירוס פעיל. ב-CISA הבינו את המשמעות והוסיפו את שתיהן לקטלוג ה-KEV עם דדליין לתיקון של שבועיים לגופים פדרליים.
איך לבדוק אם אתם מעודכנים
ב-Windows Security פותחים את הגדרות אבטחה > Virus and threat protection > Virus and threat protection updates. שם רואים את הגרסה של Antimalware Client. המיקרוסופט הוציאה גרסה מעודכנת של מנוע ה-Antimalware בימים האחרונים, וברוב התצורות הוא מתעדכן אוטומטית – אבל לא תמיד. במחשבים שלא היו מחוברים לאינטרנט תקופה ארוכה, או בארגונים שמשתמשים ב-WSUS עם בקרה ידנית, צריך לוודא שהעדכון התקבל.
אם אתם משתמשים ב-Microsoft Intune או SCCM לניהול מרכזי, כדאי לוודא שהמדיניות שלכם מאלצת התקנת עדכוני Defender אוטומטית. ההגדרה היא Configure detection for potentially unwanted applications + Allow automatic sample submission – שתיהן צריכות להיות מופעלות.
הנקודה הרחבה: אבטחה אינה תמיד שכבה הגנתית שעובדת לבד
זה לא המקרה הראשון השנה שכלי הגנה עצמו נמצא חשוף. ראינו פגיעויות חמורות גם ב-FortiClient EMS באפריל, ב-Trend Micro Apex One השבוע, ובמערכות זהויות כמו FortiAuthenticator. הלקח הוא שמערכת אבטחה אחת לבד לא מספיקה. צריך לפחות שתי שכבות שיכולות לזהות פעילות חריגה, גם אם אחת מהן נופלת.
ארגונים שעובדים רק עם Windows Defender חשופים פעמיים: גם לפגיעות עצמה, וגם לחוסר ראות. ארגון שיש לו בנוסף EDR מסחרי (כמו SentinelOne שאנחנו מטמיעים אצל לקוחות), Email Security בנפרד, ולוגים מרכזיים – יזהה את הניצול גם אם Defender לא יזהה.
אם הסביבה שלכם בנויה על שכבה הגנתית אחת בלבד, או שאין מי שעוקב אחרי עדכוני האבטחה בארגון, צרו קשר. אנחנו בונים סביבות אבטחה רב-שכבתיות שמתאימות לארגונים בינוניים בישראל – בלי overhead מיותר, אבל בלי לקצר על הדברים שחשובים.
לקריאה משלימה על הסבב הקודם של עדכונים, יש לנו פוסט על Patch Tuesday של מאי 2026 שמפרט עוד 120 פגיעויות שמיקרוסופט סגרה בחודש האחרון.