Microsoft Defender: RoguePlanet-Exploit umgeht Virenschutz komplett
01.07.2026 - 09:14:17 | boerse-global.de
Die US-Behörde für Cybersicherheit (CISA) warnt vor aktiven Angriffen auf eine bereits geschlossene Sicherheitslücke in Microsoft Defender. Ransomware-Banden nutzen die Schwachstelle nun gezielt für ihre Erpressungsfeldzüge.
BlueHammer: Alte Lücke, neue Gefahr
Am 30. Juni aktualisierte die CISA ihren Katalog bekannter ausgenutzter Schwachstellen (KEV). Die als CVE-2026-33825 oder BlueHammer bekannte Sicherheitslücke wird demnach in Ransomware-Kampagnen eingesetzt. Es handelt sich um eine Rechteausweitung innerhalb von Microsoft Defender, die Angreifern SYSTEM-Rechte verschafft – den höchsten Zugriff auf ein Windows-System.
Der Sicherheitsforscher Nightmare Eclipse hatte die Schwachstelle Anfang April entdeckt. Microsoft schloss das Loch am 14. April mit einem Patch. Doch die Cybersicherheitsfirma Huntress beobachtete bereits vor dem Update Hinweise auf eine Ausnutzung als Zero-Day-Lücke. Die CISA nahm BlueHammer am 22. April in ihren Katalog auf und setzte US-Behörden eine Frist bis zum 7. Mai zur Installation des Updates.
Microsoft selbst hat die aktuellen Exploit-Berichte noch nicht bestätigt. Die aktualisierte CISA-Eintragung nennt jedoch explizit den Einsatz der Lücke in Malware- und Ransomware-Angriffen. BlueHammer ist bereits der achte Microsoft-Defender-Fehler, den die Behörde als kritisch einstuft – und der zweite, der direkt mit Erpressungssoftware in Verbindung steht.
Angesichts der Zunahme gezielter Ransomware-Kampagnen müssen Unternehmen ihre IT-Sicherheit proaktiv stärken, um nicht das nächste Opfer zu werden. Dieser kostenlose Report klärt darüber auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Neue Cyberrisiken und gesetzliche Anforderungen jetzt prüfen
RoguePlanet: Neuer Zero-Day ohne Patch
Noch am selben Tag veröffentlichte Nightmare Eclipse eine weitere schwerwiegende Entdeckung. Die als CVE-2026-50656 und RoguePlanet bezeichnete Schwachstelle betrifft Microsoft Defender auf Windows 10 und Windows 11. Sie soll es Angreifern ermöglichen, den Virenschutz vollständig zu umgehen.
Der Forscher veröffentlichte einen Proof-of-Concept für den Exploit. Dabei handelt es sich um eine sogenannte Race-Condition – eine zeitliche Lücke im Programmablauf – die auf bestimmten Testsystemen eine Erfolgsquote von 100 Prozent erreicht haben soll. Besonders alarmierend: Der Exploit funktioniert auch bei aktiviertem Echtzeitschutz und könnte einem Angreifer die vollständige Kontrolle über das betroffene System geben.
Wenn Sicherheitslücken wie RoguePlanet den Virenschutz umgehen, ist die Wachsamkeit der Mitarbeiter oft die letzte Verteidigungslinie gegen Cyberkriminalität. Experten erklären im kostenlosen Cyber Security E-Book, wie Sie sich und Ihr Unternehmen proaktiv absichern, bevor es zu spät ist. Kostenlose Checkliste zur IT-Sicherheit herunterladen
Microsoft hat die Veröffentlichung bestätigt und arbeitet nach eigenen Angaben an einem Patch. Die Offenlegung folgt auf frühere Demonstrationen von Nightmare Eclipse, der bereits die Umgehung der BitLocker-Verschlüsselung durch Hardware-Manipulation gezeigt hatte.
Sicherheitsexperten beobachten die Lage mit Sorge. Der RoguePlanet-Exploit ist derzeit öffentlich verfügbar und bleibt ungepatcht. Für Unternehmen und Privatanwender bedeutet dies: Bis zur Bereitstellung eines Updates sind zusätzliche Sicherheitsmaßnahmen dringend zu empfehlen.
