To Microsoft Defender-hull utnyttes nå: Slik sjekker du om PC-en din er rammet

Den ene gir angripere full kontroll over Windows-PC-en, den andre kan slå ut antivirusprogrammet. Begge er tatt inn på den amerikanske sikkerhetsmyndigheten CISAs liste over kjente utnyttede sårbarheter, og Microsoft begynte å rulle ut oppdateringer 21. mai.

Hullene rammer Microsoft Defender, antivirusprogrammet som følger med Windows 10 og Windows 11. Det betyr at titusenvis av norske brukere, både private og bedrifter, sitter med en sikkerhetsløsning som angripere akkurat nå har funnet veier rundt.

Hva sårbarhetene gjør

Den mest alvorlige feilen har fått betegnelsen CVE-2026-41091 og er rangert til 7,8 på CVSS-skalaen, en standard fra 0 til 10 som beskriver hvor alvorlig en sårbarhet er. Den lar en angriper som allerede har en vanlig brukerkonto på maskinen, heve seg til SYSTEM, det høyeste rettighetsnivået i Windows. Med slike rettigheter kan angriperen slå av sikkerhetsverktøy, hente ut passord og installere skadelig programvare som overlever omstart.

Sårbarheten ligger i Microsoft Malware Protection Engine, selve skannemotoren i Defender, og handler om at motoren behandler symbolske lenker i filsystemet på feil måte. Forskerne Sibusiso, Diffract, Andrew C. Dorman og Damir Moldovanov, sammen med en anonym kilde, er kreditert for funnet.

Den andre sårbarheten, CVE-2026-45498, har lavere alvorsgrad med CVSS 4,0. Den lar en angriper sette Defender ut av spill via et tjenestenektangrep. "Hvis angripere kan krasje eller deaktivere antivirusmotoren på kommando, kan de skape et tryggere miljø for at skadevaren deres skal kjøre uoppdaget," forklarer Malwarebytes.

Slik sjekker du om PC-en din er oppdatert

Defender oppdateres normalt automatisk gjennom Windows, men angripere er allerede i gang, og det er verdt å tvinge en sjekk i stedet for å vente på neste planlagte oppdatering.

Åpne Windows Sikkerhet fra startmenyen og velg Virus- og trusselbeskyttelse. Klikk på Beskyttelsesoppdateringer, deretter på Søk etter oppdateringer. Under Innstillinger og Om finner du feltet Antimalware Client Version.

For å være beskyttet trenger du Malware Protection Engine i versjon 1.1.26040.8 eller nyere, og Antimalware Platform i versjon 4.18.26040.7 eller nyere. Lavere versjonsnumre betyr at maskinen fortsatt er sårbar.

Microsoft påpeker at standardoppsettet sørger for at både virusdefinisjoner og selve plattformen oppdateres automatisk, men det forutsetter at Windows Update er aktivert og at maskinen har vært tilkoblet internett.

Hva "aktivt utnyttet" betyr

Når en sårbarhet beskrives som aktivt utnyttet, betyr det at sikkerhetsmiljøer eller leverandører faktisk har sett angrep mot vanlige brukere, ikke bare teoretiske demonstrasjoner i et laboratorium. Det er forskjellen mellom en advarsel om at noen kunne ringe på døren din, og at noen allerede prøver dørhåndtaket.

CISA opererer med frist for amerikanske føderale etater til å patche innen 3. juni. Private brukere og bedrifter er ikke bundet av fristen, men den signaliserer hvor høyt myndighetene vurderer trusselen. Føderale etater må enten oppdatere eller slutte å bruke Defender innen den datoen.

For norske brukere er rådet enkelt: sjekk versjonsnumrene i kveld, og ikke vent på neste Patch Tuesday-syklus.