Microsoft Defender: Kritische Sicherheitslücke wird aktiv ausgenutzt

Die US-Cybersicherheitsbehörde CISA hat eine schwerwiegende Schwachstelle in Microsoft Defender in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Der Schritt erfolgte am 26. April 2026, nachdem Berichte über eine ausgeklügelte Angriffskette mit drei verschiedenen Exploits bekannt wurden. Die als BlueHammer, RedSun und UnDefend codierten Angriffe ermöglichen es Hackern, Sicherheitskontrollen zu umgehen und die volle Kontrolle über Windows-Systeme zu erlangen.

Microsoft hatte zwar Anfang April ein Sicherheitsupdate für die Hauptschwachstelle veröffentlicht. Doch Sicherheitsforscher warnen: Zwei weitere, noch ungepatchte Lücken und öffentlich verfügbarer Exploit-Code stellen weiterhin ein erhebliches Risiko für Unternehmen dar.

Angesichts der aktuellen Sicherheitsbedrohungen durch komplexe Windows-Exploits suchen viele Anwender nach stabileren und sichereren Systemalternativen. Das kostenlose Linux-Startpaket zeigt Schritt für Schritt, wie Sie Ubuntu parallel zu Windows installieren – ohne Risiko und ohne Datenverlust. Kostenloses Linux-Startpaket anfordern

Die BlueHammer-Schwachstelle CVE-2026-33825

Im Zentrum der aktuellen Angriffswelle steht CVE-2026-33825, eine lokale Rechteausweitung in der Microsoft Defender Antimalware Platform. Der als BlueHammer bekannte Exploit nutzt eine sogenannte „Time-of-Check to Time-of-Use"-Race-Condition im Signatur-Update-Mechanismus von Defender aus. Die Schwachstelle mit einem CVSS-Score von 7,8 erlaubt es Angreifern mit niedrigen Benutzerrechten, die Sicherheitssoftware dazu zu bringen, ihnen SYSTEM-Rechte zu gewähren.

Die Funktionsweise ist komplex: Der Exploit unterbricht Defender während eines Signatur-Updates. Durch sogenannte Operation Locks können Angreifer die Dateiverarbeitung von Defender in einem kritischen Moment anhalten. Das ermöglicht es ihnen, die Ausgabe der Software umzuleiten – Defender wird gezwungen, die Sicherheitskontenverwaltungs-Datenbank (SAM) oder andere sensible Systemdateien in ein benutzerkontrolliertes Verzeichnis zu kopieren. Mit der extrahierten SAM-Datenbank können Angreifer NTLM-Hashes erbeuten und Passwörter zurücksetzen.

Microsoft schloss diese spezifische Lücke mit seinem Patch-Day am 14. April 2026. Für die meisten Nutzer sei keine manuelle Aktion erforderlich, da die Defender-Plattform automatisch aktualisiert werde. Systeme, auf denen Defender deaktiviert wurde oder in Umgebungen mit streng kontrollierten Updates, könnten jedoch weiterhin verwundbar sein.

Brisante Veröffentlichung durch verärgerten Forscher

Die schnelle Waffeneinsetzung von CVE-2026-33825 ist auf einen ungewöhnlichen Offenlegungsprozess zurückzuführen. Der Exploit und der dazugehörige Proof-of-Concept-Code wurden erstmals am 2. April 2026 von einem Sicherheitsforscher veröffentlicht, der unter den Pseudonymen „Chaotic Eclipse" und „Nightmare-Eclipse" auftritt. Der Forscher veröffentlichte die Details auf einem persönlichen Blog und einem GitHub-Repository, nachdem er mit der Bearbeitung seiner Meldung durch Microsoft unzufrieden war.

Der Forscher behauptet, die Schwachstellen gemeldet zu haben, aber keine zufriedenstellende Antwort erhalten zu haben. Aus Vergeltung veröffentlichte er nicht nur den BlueHammer-Exploit, sondern auch zwei weitere techniken, die die Defender-Plattform angreifen. Diese öffentliche Offenlegung löste einen Sturm der Aktivitäten in der Sicherheitscommunity aus, der sich noch verstärkte, als andere Entwickler das ursprüngliche Repository forkten, um die Zuverlässigkeit des Exploits zu verbessern.

Die Zeitspanne von der Veröffentlichung bis zur aktiven Ausnutzung war bemerkenswert kurz: Die ersten dokumentierten Fälle, in denen Angreifer den BlueHammer-Code nutzten, traten bereits am 10. April 2026 auf – vier Tage bevor Microsoft einen offiziellen Patch bereitstellte. Diese Lücke erlaubte es, die Schwachstelle als Zero-Day in gezielten Umgebungen auszunutzen.

RedSun und UnDefend: Die ungepatchten Begleiter

Obwohl CVE-2026-33825 mittlerweile gepatcht ist, bleibt die Bedrohung bestehen. Zwei weitere Techniken desselben Forschers – RedSun und UnDefend – haben noch keine offiziellen Updates und werden mit BlueHammer zu einer noch gefährlicheren Angriffskette kombiniert.

RedSun ist eine Rechteausweitung, die ausnutzt, wie Defender mit schädlichen Dateien umgeht, die zur Bereinigung in die Cloud markiert wurden. Statt die Dateien zu löschen, kann das System manipuliert werden, um kritische Systemdateien an ihren ursprünglichen Orten neu zu schreiben. Das erlaubt Angreifern, sensible Binärdateien zu überschreiben und administrative Zugriffe zu erlangen. RedSun betrifft aktuelle Versionen von Windows 10, Windows 11 und Windows Server.

Der dritte Baustein, UnDefend, ist ein Denial-of-Service-Exploit, der von einem normalen Benutzer ausgelöst werden kann. Diese Technik greift den Update-Workflow von Defender an und unterbindet die Fähigkeit der Software, neue Bedrohungssignaturen zu empfangen. Durch das Sperren der Definitionsdateien können Angreifer verhindern, dass Defender die anderen Phasen ihres Angriffs erkennt.

Sicherheitsforscher betonen: Selbst wenn Unternehmen BlueHammer gepatcht haben, bleibt die Angriffsfläche groß. Die Kombination dieser Werkzeuge erlaubt es Angreifern, zunächst den Endpunktschutz zu neutralisieren (UnDefend), dann ihre Rechte auszuweiten (RedSun) und schließlich eine dauerhafte Präsenz im Netzwerk aufzubauen – ohne dass die Standard-Sicherheitsalarme ausgelöst werden.

Beobachtete Angriffsmuster

Ermittler haben detaillierte Einblicke in die realen Angriffsmethoden gewonnen. Die Sicherheitsfirma Huntress identifizierte eine Reihe von Einbrüchen, bei denen Angreifer zunächst über kompromittierte SSL-VPN-Verbindungen auf FortiGate-Firewalls eindrangen. Im Inneren des Netzwerks führten sie manuelle Aufklärung durch, führten Befehle wie „whoami /priv" und „net group" aus, um wertvolle Ziele zu identifizieren.

Ein bemerkenswertes Merkmal dieser Angriffe ist die Nutzung von benutzerbeschreibbaren Verzeichnissen für die Bereitstellung schädlicher Binärdateien. Die Angreifer platzierten ihre Werkzeuge oft in unauffälligen Ordnern wie dem Bilder- oder Download-Verzeichnis. Sie verwendeten dabei häufig die Originaldateinamen aus dem öffentlichen GitHub-Repository oder leicht verschleierte Versionen.

Während einige der beobachteten Angriffe scheiterten, weil die Hacker kein tiefes Verständnis der Defender-Exploits hatten, waren andere erfolgreicher. Einige Einbrüche wurden mit der Bereitstellung von „BeigeBurrow" in Verbindung gebracht, einem Tunnel-Agenten, der dauerhafte Proxy-Verbindungen herstellt und laterale Bewegungen im Netzwerk ermöglicht.

Um Windows-Systeme gegen solche gezielten Angriffe abzusichern, ist ein systematisches Vorgehen bei Updates und der Systemkonfiguration unerlässlich. Der Gratis-Report bündelt alles Wichtige für eine sichere Installation und Datenübernahme, damit der Betrieb reibungslos klappt. Windows 11 Komplettpaket kostenlos sichern

Handlungsbedarf für Unternehmen

Die Aufnahme von CVE-2026-33825 in den CISA-KEV-Katalog setzt US-Bundesbehörden eine strenge Frist: Sie müssen die erforderlichen Patches bis zum 6. Mai 2026 einspielen. Die Maßnahme von CISA ist ein deutliches Signal an die Privatwirtschaft, dass die Schwachstelle aktiv ausgenutzt wird und Priorität im Schwachstellenmanagement haben sollte.

Microsoft untersucht weiterhin die Berichte zu RedSun und UnDefend. Ein Unternehmenssprecher bekräftigte das Engagement für die Untersuchung von Sicherheitsproblemen und forderte Forscher auf, koordinierte Offenlegungsverfahren einzuhalten.

Sicherheitsteams sollten dringend überprüfen, ob Microsoft Defender automatische Updates erhält und anwendet. Zudem hilft die Überwachung auf spezifische Post-Exploitation-Befehle und die Bereitstellung von Binärdateien in ungewöhnlichen Benutzerverzeichnissen, laufende Angriffe zu erkennen. Da das Zeitfenster zwischen Schwachstellen-Offenlegung und Ausnutzung immer kleiner wird, bleiben schnelles Patchen und die kontinuierliche Überprüfung der Sicherheitskontrollen die wirksamsten Verteidigungsmaßnahmen.

de | boerse | 69246726 |