Windows, Defender

Windows Defender: Kritische Lücke RoguePlanet ermöglicht Systemkontrolle

Veröffentlicht: 11.07.2026 um 12:04 Uhr, Redaktion boerse-global.de

Microsoft patcht schwerwiegende Windows-Defender-Sicherheitslücke. Experten warnen vor möglichen Nebenwirkungen des Updates.

Windows Defender Lücke: Microsoft schließt kritische Sicherheitslücke
Glühendes Vorhängeschloss-Symbol auf digitaler Leiterplatte mit Datenströmen. Symbolisiert Cybersicherheit und Datenlecks. Illustration mit AI erstellt übermittelt durch boerse-global.de

Ein schwerwiegender Sicherheitsfehler in Windows Defender ermöglicht Angreifern volle Systemkontrolle – und der Streit um die Offenlegung eskalierte bereits vor dem Patch.

Microsoft hat am 10. Juli 2026 einen dringenden Sicherheitsupdate für Windows Defender veröffentlicht. Die als CVE-2026-50656 registrierte Schwachstelle mit dem Codenamen RoguePlanet erlaubt es einem normalen Benutzer, durch eine Race-Condition SYSTEM-Rechte zu erlangen. Der Patch wurde mit Defender-Engine-Version 1.1.26060.3008 ausgeliefert.

Eskalation vor dem Patch

Die Sicherheitslücke hatte bereits Wochen vor dem offiziellen Fix für Aufsehen gesorgt. Der Sicherheitsforscher Nightmare Eclipse veröffentlichte am 10. Juni einen funktionsfähigen Exploit – nachdem es offenbar zu einem Zerwürfnis über die Offenlegung gekommen war. Die US-amerikanische Cybersicherheitsbehörde CISA hat die Schwachstelle inzwischen in ihren Katalog bekannter ausgenutzter Sicherheitslücken (KEV) aufgenommen und bestätigt, dass mehrere verwandte Exploits aktiv im Umlauf sind.

Mögliche Nebenwirkungen des Updates

Doch der Patch könnte neue Probleme mit sich bringen. Der Forscher Chaotic Eclipse warnte am 10. Juli, dass die Aktualisierung möglicherweise unerwünschte Nebeneffekte habe. Demnach könnte der Fix zu geringfügigen Datenlecks oder zur Überlastung des Speicherplatzes führen – und zwar durch überdimensionierte Zone.Identifier-Alternativdatenströme, wenn ein Benutzer auf eine schädliche SMB-Freigabe zugreift. Microsoft hat diese Behauptungen bislang nicht bestätigt.

CitrixBleed2: Ransomware in Rekordzeit

Die Sicherheitsforscher von Huntress veröffentlichten am 10. Juli einen Bericht über eine Angriffswelle, die die als CitrixBleed2 bekannte Schwachstelle CVE-2025-5777 ausnutzt. Zwischen Januar und Juni 2026 nutzten sogenannte Initial-Access-Broker diese Speicherleck-Schwachstelle in Citrix NetScaler ADC und Gateway-Geräten, um die Multi-Faktor-Authentifizierung zu umgehen.

Die Angriffskette läuft erschreckend effizient ab: Angreifer senden manipulierte POST-Anfragen, um Sitzungstoken aus dem Gerätespeicher zu stehlen. Nach der Übernahme legitimer Sitzungen erstellen sie mit lokalen Privilegien-Eskalations-Tools gefälschte Administratorkonten und installieren Fernzugriffssoftware wie ScreenConnect oder Zoho Assist. In einem dokumentierten Fall vergingen zwischen dem ersten Eindringen und der Bereitstellung der DragonForce-Ransomware weniger als eine Stunde.

Anzeige

Angesichts immer schnellerer Angriffsketten durch Ransomware-Gruppen müssen Unternehmen ihre IT-Infrastruktur heute proaktiv absichern. Dieses kostenlose E-Book enthüllt, wie Sie kritische Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen zum Schutz Ihres Unternehmens erfüllen. IT-Sicherheit stärken und Cyberangriffe verhindern

KI-Entwicklungstools im Visier

Das AI Now Institute veröffentlichte am 8. Juli einen Bericht über Sicherheitsrisiken in automatisierten Programmierassistenten. Forscher demonstrierten Proof-of-Concept-Exploits, die eine entfernte Codeausführung (RCE) in Tools wie Claude Code und Codex ermöglichen.

Betroffen sind Modelle wie Claude Sonnet 4.6 und 5, Opus 4.8 sowie GPT-5.5. Der Angriff nutzt Prompt-Injection-Techniken: Schädliche Anweisungen werden in Open-Source-Codebasen versteckt. Wenn die KI-Tools im autonomen Modus diesen Code analysieren oder integrieren, führen sie die versteckten Befehle möglicherweise unwissentlich aus. Die Forscher haben sowohl Anthropic als auch OpenAI über ihre Erkenntnisse informiert.

GigaWiper: Die zerstörerische Allzweckwaffe

Microsofts Threat Intelligence hat eine neue, in Go programmierte Hintertür namens GigaWiper identifiziert. Erstmals im Oktober 2025 entdeckt, vereint die Malware die Fähigkeiten mehrerer zerstörerischer Familien – darunter die Crucio-Ransomware und den FlockWiper-Disk-Wiper. GigaWiper nutzt RabbitMQ und Redis für die Kommando- und Kontrollinfrastruktur. Das Programm löscht Systemprotokolle, zeichnet Bildschirminhalte auf und macht den befallenen Host schließlich unbrauchbar.

GodDamn-Ransomware mit signiertem Kernel-Treiber

Symantec berichtete am 9. Juli über eine neue Ransomware-Variante namens GodDamn. Sie setzt einen bösartigen Kernel-Treiber namens PoisonX ein, um Sicherheitssoftware zu umgehen. Der Treiber trägt offenbar eine gültige Microsoft-Signatur, was ihm erlaubt, Sicherheitsprozesse mit höchsten Systemrechten zu beenden. GodDamn ist eine Weiterentwicklung früherer Ransomware-Familien und wurde erstmals im Mai 2026 in aktiven Angriffen beobachtet.

Anzeige

Da Cyberkriminelle zunehmend neue Technologien und gesetzliche Grauzonen ausnutzen, ist eine fundierte Risikoaufklärung für Geschäftsführer und IT-Verantwortliche unerlässlich. Ein aktueller Gratis-Report klärt darüber auf, welche neuen Bedrohungen und rechtlichen Pflichten Unternehmer jetzt kennen müssen, um sich wirksam zu schützen. Kostenlosen Cyber-Security-Report jetzt herunterladen

Weitere kritische Schwachstellen in der zweiten Juliwoche

Die Sicherheitslandschaft bleibt angespannt. Mehrere weitere schwerwiegende Sicherheitslücken wurden in der zweiten Juliwoche aufgedeckt oder geschlossen:

  • UniFi-Anwendungen: Eine Befehlseinschleusung (CVE-2026-50746) erhielt die maximale CVSS-Bewertung von 10,0.
  • Adobe ColdFusion: Angreifer nutzen aktiv CVE-2026-48282 aus – ebenfalls mit CVSS 10,0 bewertet.
  • cPanel & WHM: Eine Authentifizierungsumgehung (CVE-2026-41940) durch CRLF-Injection wird derzeit aktiv angegriffen. CISA hat die Lücke in den KEV-Katalog aufgenommen.
  • OpenSSH: Version 10.4p1 schließt acht Sicherheitslücken, darunter eine hochriskante Use-After-Free-Schwachstelle (CVE-2026-60002).
  • Linux KVM: Forscher identifizierten Januscape (CVE-2026-53359) – eine 16 Jahre alte Use-After-Free-Sicherheitslücke, die Angreifern die Flucht aus einer virtuellen Maschine ermöglichen könnte.

Zudem wurde die Gruppe UNK_MassTraction, die von Forschern mit China in Verbindung gebracht wird, dabei beobachtet, wie sie Physik- und Ingenieurfakultäten nordamerikanischer Universitäten angreift. Die Gruppe nutzt Sicherheitslücken in Roundcube-Mailservern aus, um Webshells und Hintertüren zur Datenexfiltration zu installieren.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69743601 |