Microsoft Windows: Neue Zero-Day-Lücken erschüttern die Sicherheitsarchitektur

Gleich mehrere kritische Sicherheitslücken erschüttern Microsofts Vertrauenswürdigkeit. BitLocker und Defender sind betroffen.

Die Sicherheitslage für Windows-Nutzer hat sich Mitte Mai 2026 dramatisch zugespitzt. Gleich zwei Zero-Day-Exploits – YellowKey und GreenPlasma – hebeln zentrale Schutzmechanismen des Betriebssystems aus. Hinzu kommen aktive Angriffe auf Exchange-Server und Installationsprobleme beim aktuellen Windows-11-Update.

Windows 11 macht Probleme? Diese 5 Fehler können Sie ab sofort selbst beheben. Kein IT-Techniker nötig – ein kostenloser Report zeigt, wie es geht. Erste Hilfe für Windows 11 jetzt kostenlos sichern

BitLocker-Bypass und Privilegien-Eskalation

Der YellowKey-Exploit zielt auf die Windows-Wiederherstellungsumgebung (WinRE) ab. Angreifer können damit die BitLocker-Verschlüsselung umgehen und an die Verschlüsselungsschlüssel gelangen – allerdings nur mit physischem Zugriff auf das Gerät. Betroffen sind Windows 11 sowie die Server-Versionen 2022 und 2025. Systeme, die ausschließlich auf das Trusted Platform Module (TPM) setzen, gelten als verwundbar. Konfigurationen mit PIN oder USB-Schlüssel bleiben geschützt.

Parallel dazu ermöglicht GreenPlasma eine Privilegien-Eskalation. Die Schwachstelle steckt in der CTFMON-Komponente von Windows. Ein Angreifer, der bereits Code auf dem System ausführen kann, erhält damit erweiterte Rechte. Betroffen sind Windows 11 sowie Windows Server 2022 und 2026.

Ein offizieller Patch von Microsoft steht noch aus. Sicherheitsfirmen empfehlen daher strenge physische Sicherheitsmaßnahmen, Anwendungs-Allowlisting und das Prinzip der geringsten Privilegien.

Pwn2Own 2026: Forscher kassieren Millionen

Die Ergebnisse des Hacking-Wettbewerbs Pwn2Own 2026 verschärfen die Lage zusätzlich. Bereits nach zwei Tagen hatten Forscher 39 Zero-Day-Lücken demonstriert. Der Sicherheitsexperte Orange Tsai von DEVCORE gelang eine besonders spektakuläre Attacke: eine Remote-Code-Ausführung gegen Microsoft Exchange, die ihm 200.000 Dollar einbrachte.

Weitere erfolgreiche Angriffe trafen Windows 11, Microsoft Edge und Microsoft Teams. Die ausgeschütteten Preisgelder summierten sich auf fast 909.000 Dollar.

Aktive Angriffe auf Exchange-Server

Microsoft warnt vor der aktiven Ausnutzung einer Sicherheitslücke in lokalen Exchange-Servern. Die Schwachstelle CVE-2026-42897 (CVSS-Score 8.1) betrifft die Outlook Web Access (OWA)-Schnittstelle und ermöglicht Cross-Site-Scripting (XSS). Betroffen sind Exchange 2016, 2019 und die SE-Edition.

Da ein Patch nicht sofort verfügbar war, empfiehlt Microsoft den Einsatz des Exchange Emergency Mitigation Service (EEMS) als Übergangslösung. Exchange Online-Nutzer sind von dieser Kampagne nicht betroffen.

RedSun: Defender als Angriffsziel

Ein weiterer Exploit namens RedSun zielt auf den Echtzeitschutz von Microsoft Defender ab. Über die Cloud-Files-API können Angreifer ihre Rechte auf SYSTEM-Ebene ausweiten. Betroffen sind Windows 10, 11 und verschiedene Server-Editionen. Proof-of-Code ist öffentlich verfügbar, und die Schwachstelle wird bereits aktiv ausgenutzt.

TrickMo.C: Banking-Malware mit Blockchain-Tarnung

Eine neue Variante der TrickMo-Banking-Malware setzt auf die TON-Blockchain für ihre Kommando- und Kontrollkommunikation. Das macht die Schadsoftware deutlich schwerer durch traditionelle Domain-Blockaden zu stoppen. TrickMo.C zielt auf Finanz- und Kryptowährungs-Apps in Österreich, Italien und Frankreich ab – und verbreitet sich über gefälschte Versionen beliebter Social-Media- und Streaming-Apps.

Update-Chaos: KB5089549 scheitert an Speicherplatz

Neben den Sicherheitsproblemen kämpft Microsoft mit technischen Pannen. Das Mai-Update KB5089549 für Windows 11 lässt sich auf vielen Systemen nicht installieren. Fehlermeldung: 0x800f0922. Ursache ist ein zu kleiner EFI-Partitionsspeicher – weniger als 10 MB freier Platz führen zum Abbruch. Microsoft rollt einen Notfall-Rollback (KIR) aus und arbeitet an einer dauerhaften Lösung.

So sparen Windows-Nutzer hunderte Euro an IT-Kosten – ganz ohne Vorkenntnisse. Experte Manfred Kratzl erklärt in seinem Gratis-Report, wie Sie Update-Fehler, Druckerprobleme und mehr in Minuten selbst lösen. Kostenlosen Experten-Report herunterladen

Android 16: VPN-Bypass entdeckt

Auch die mobile Welt bleibt nicht verschont. Eine Schwachstelle im Android 16 ConnectivityManager erlaubt bestimmten Apps, aktive VPN-Tunnel zu umgehen. Der echte IP-Adresse des Nutzers könnte so preisgegeben werden. GrapheneOS hat bereits einen Patch entwickelt. Google stuft das Problem als schwer behebbar ein, betont aber, dass das Risiko auf Systeme mit bereits vorhandener Malware beschränkt sei.

Ausblick: Patches in den kommenden Wochen erwartet

Microsoft dürfte in den nächsten Wochen formelle Patches für YellowKey und GreenPlasma priorisieren. Für Administratoren steht der Schutz der Exchange-Server und die Überwachung auf Kompromittierungsindikatoren im Zusammenhang mit RedSun im Vordergrund.

Die Entwicklungen zeigen: Selbst native Sicherheitsfunktionen wie BitLocker und Defender sind nicht mehr sicher. Die Angreifer werden immer raffinierter. Nutzer sollten regelmäßige Backups anlegen und den physischen Zugriff auf kritische Hardware strikt kontrollieren.

de | wissenschaft | 69351484 |