Microsoft, Defender

Microsoft Defender: RPC-Überwachung schließt kritische Sicherheitslücke

09.06.2026 - 15:08:20 | boerse-global.de

Microsoft erweitert Defender um RPC-Überwachung gegen laterale Bewegungen und Credential-Theft. SOC-Teams erhalten neue Daten für Advanced Hunting.

Microsoft Defender: Neue RPC-Überwachung schließt Sicherheitslücke
Microsoft - A glowing blue shield icon, representing Microsoft Defender, over a background of digital data streams and code, symbolizing cybersecurity. 09.06.2026 - Bild: über boerse-global.de

Microsoft erweitert seinen Defender um die Überwachung von RPC-Aktivitäten – ein bislang blinder Fleck für viele Unternehmen.

Der IT-Riese hat die Sicherheitslösung Microsoft Defender um eine entscheidende Funktion erweitert: die Überwachung von Remote Procedure Call (RPC)-Aktivitäten. Angreifer nutzen diese Schnittstelle seit Jahren für laterale Bewegungen im Netzwerk und den Diebstahl von Zugangsdaten. Die Neuerung, die Anfang Juni 2026 veröffentlicht wurde, ermöglicht Sicherheitsteams eine hochauflösende Verfolgung eingehender RPC-Aufrufe.

Anzeige

Während Microsoft den Defender für Unternehmen aufrüstet, stehen auch Privatnutzer und kleine Betriebe vor immer komplexeren Cyberrisiken durch neue KI-Technologien. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken jetzt kostenlos entdecken

Granulare Überwachung auf OpNum-Ebene

Die neue Funktion integriert sich in die Windows Filtering Platform (WFP) und arbeitet auf der sogenannten OpNum-Ebene (Operation Number). Durch rein überwachende WFP-Filter kann Microsoft Defender nun spezifische RPC-Aufrufe auf einem Zielsystem analysieren.

Der Fokus liegt auf mehreren kritischen Schnittstellen, die Angreifer besonders häufig ins Visier nehmen. Dazu gehören der Service Control Manager (SCM), der Task Scheduler, die Remote Registry und die Windows Management Instrumentation (WMI). Auf diese Weise erkennt das System den Einsatz des berüchtigten Impacket-Toolkits sowie Versuche zur Remote-Diensterstellung. Letztere nutzen typischerweise die OpNums 12, 24, 44, 45 und 60.

Schutz vor Credential-Theft und Authentifizierungsangriffen

Die RPC-Überwachung zielt gezielt auf Techniken zur Privilegienausweitung und lateralen Bewegung ab. Dazu gehört die Erkennung von LSA-Secrets-Diebstahl, eine Methode, die unter der MITRE-ID T1003.004 geführt wird. Sicherheitsanalysten betonen, dass das Update auch hilft, Authentifizierungs-Coercion und verdächtige Aktivitäten im Zusammenhang mit DCsync und SecretsDump zu identifyzieren.

Für Sicherheitsoperationsteams (SOCs) stehen die Telemetriedaten dieser RPC-Aufrufe über die Advanced Hunting-Oberfläche zur Verfügung. Die Daten werden in der DeviceEvents-Tabelle unter dem Aktionstyp "InboundRemoteRpcCall" gespeichert. Das erlaubt Teams, eigene Erkennungsregeln zu erstellen und historische Analysen durchzuführen.

Ausrollstatus und neues Update-Modell

Die RPC-Überwachung ist für Workstations allgemein verfügbar, während der Rollout für Serverumgebungen schrittweise erfolgt.

Parallel dazu ändert Microsoft die Art und Weise, wie Defender for Endpoint EDR-Updates ausgeliefert werden. Seit Ende Mai 2026 verteilt das Unternehmen diese Updates über Microsoft Update unter der Kennung KB5005292. Dadurch werden EDR-Updates vom traditionellen Patch-Day-Zyklus entkoppelt – häufigere und unabhängigere Bereitstellungen werden möglich.

Anzeige

Da Cyberangriffe auf Unternehmen Rekordschäden verursachen, wird eine proaktive Absicherung über die reine Software-Überwachung hinaus immer wichtiger. Experten erklären in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und Ihre Firma wirksam schützen. Gratis-Checkliste zur Abwehr von Cyberangriffen sichern

Der Umstieg auf dieses neue Modell begann mit Windows 10 und soll bis Herbst 2026 auf Windows 11 sowie verschiedene Serverversionen ausgeweitet werden. Voraussetzung ist mindestens die Sense-Version 10.8798.25857.1000.

Bedrohungslage bleibt angespannt

Die Einführung dieser Werkzeuge erfolgt vor dem Hintergrund einer komplexen Bedrohungslage. Erst in den vergangenen Tagen haben Sicherheitsforscher eine neue Variante des Shai-Hulud-Wurms namens Miasma identifiziert, die Entwickler-Tools und KI-Assistenten-Konfigurationen angreift. Zudem unterzeichneten Microsoft und das National Institute of Cyber Security (NICS) in Taiwan am 8. Juni 2026 eine Absichtserklärung zur Zusammenarbeit bei KI-gestützter Bedrohungsanalyse und dem Schutz kritischer Infrastrukturen durch Zero-Trust-Architekturen.

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.
de | wissenschaft | 69507944 |