Windows-Lücken: Vier kritische CVEs werden aktiv ausgenutzt

Microsoft wird künftig keine rechtlichen Schritte gegen Forscher einleiten, die Sicherheitslücken offenlegen. Die Ankündigung vom heutigen Montag beendet vorerst einen erbitterten Streit mit der Sicherheitscommunity.

Die aktuelle Debatte zeigt, wie verwundbar Betriebssysteme durch Zero-Day-Lücken und gezielte Angriffe sind. Erfahren Sie in diesem kostenlosen Report, wie Sie Ihren PC mit einfachen Schritten selbst absichern und typische Windows-Fehler ohne teure Hilfe beheben. Windows-Probleme sofort selbst lösen – Gratis-Report jetzt sichern

Eskalation um „Nightmare Eclipse“

Auslöser der Kontroverse: Am 28. Mai hatte das Microsoft Security Response Center (MSRC) einen Forscher namens Nightmare Eclipse scharf kritisiert. Der Grund: Die Veröffentlichung von sechs Windows-Zero-Day-Lücken – inklusive funktionsfähigem Code. Microsoft drohte dem Forscher mit rechtlichen Konsequenzen und der Einschaltung der Digital Crimes Unit.

Die Schwachstellen betreffen Kernkomponenten wie Microsoft Defender und BitLocker. Die Reaktion des Konzerns war drastisch: Accounts des Forschers auf GitHub, GitLab und dem MSRC-Portal wurden gelöscht.

Die Sicherheitsszene reagierte empört. Cris Thomas, Mitbegründer der Hackergruppe L0pht, stellte klar: „Ein erfolgreiches Programm zur Offenlegung von Schwachstellen kann nicht funktionieren, wenn Forscher bedroht werden.“ Auch die Experten Kevin Beaumont und Katie Moussouris kritisierten das Vorgehen als überzogen und widersprüchlich – schließlich habe Microsoft selbst schon Exploit-Entwickler eingestellt und Schwachstellen von Dritten gekauft.

Kurswechsel und offene Fragen

In seiner heutigen Stellungnahme räumte Microsoft Kommunikationsfehler ein. Der Konzern will künftig auf den Begriff „Responsible Disclosure“ verzichten und setzt stattdessen auf stärkere Zusammenarbeit. Doch Nightmare Eclipse kündigte bereits neue Enthüllungen an: für Mitte Juli weitere Exploits und noch im Juni einen Secure-Boot-Bypass.

Aktive Angriffe auf Windows und Defender

Während die Politik-Debatte tobt, warnen Sicherheitsbehörden vor akuten Gefahren. Seit heute Morgen bestätigt: Eine kritische Zero-Click-Lücke in Windows Netlogon (CVE-2026-41089) wird aktiv ausgenutzt. Angreifer können ohne Benutzerinteraktion Systemrechte auf Domänencontrollern erlangen. Das belgische Cybersicherheitszentrum drängt Unternehmen zur sofortigen Installation des bereits im Frühjahr veröffentlichten Patches.

Zwei weitere Lücken in Microsoft Defender sind ebenfalls Ziel von Angriffen: CVE-2026-41091 ermöglicht eine lokale Rechteausweitung, CVE-2026-45498 blockiert Sicherheitsupdates. Die US-Behörde CISA setzt Unternehmen eine Frist bis zum 3. Juni.

Angesichts massiver Angriffe auf Systemkomponenten wie den Microsoft Defender ist ein funktionierendes Notfall-System unverzichtbar. Dieser Gratis-Ratgeber erklärt Ihnen Schritt für Schritt, wie Sie einen USB-Boot-Stick erstellen, um Windows 11 im Ernstfall sicher zu reparieren oder neu zu installieren. Kostenlose Anleitung für Windows 11 Boot-Stick anfordern

Auch CVE-2026-42015 – eine kritische Lücke im Common Log File System Driver – wird zur Verbreitung von Ransomware genutzt. Der Patch liegt seit Jahresbeginn vor, doch die aktive Ausnutzung hält an.

Azure-Lücke: Ungelöstes Risiko

Parallel dazu warnen Forscher von Trend Micros Zero Day Initiative vor einer kritischen Schwachstelle in Azure. Die Lücke mit der maximalen Schwerebewertung von 10.0 betrifft Shared-Access-Signature-Tokens (SAS) und könnte Lieferkettenangriffe ermöglichen.

Gemeldet wurde der Fehler bereits im Oktober 2023. Zwar existiert offenbar ein Patch, doch im offiziellen Microsoft Security Update Guide taucht er nicht auf. Auch das deutsche CERT Bund bestätigt: Ein verifizierter Fix ist nicht dokumentiert. Der Status der Behebung bleibt unklar.

de | wissenschaft | 69464584 |