SchwachstellenHackerangriffeMalware

Microsoft Defender unter Beschuss: Researcher veröffentlicht kritische Privilege-Escalation-Exploits

Microsoft Defender unter Beschuss: Researcher veröffentlicht kritische Privilege-Escalation-Exploits
Zusammenfassung

Ein Sicherheitsforscher hat eine Proof-of-Concept für eine neue kritische Sicherheitslücke in Microsoft Defender veröffentlicht, die als "RedSun" bekannt ist. Diese Zero-Day-Schwachstelle ermöglicht lokale Privilege-Escalation-Angriffe (LPE), die es Angreifern erlauben, SYSTEM-Rechte auf Windows 10, Windows 11 und Windows Server zu erlangen – selbst auf vollständig gepatchten Systemen. Die Lücke nutzt einen kritischen Fehler in der Cloud-Datei-API von Windows Defender aus: Das Sicherheitstool überschreibt versehentlich Systemdateien mit ihrem ursprünglichen Inhalt, wenn es eine Cloud-Klassifizierung erkennt, statt diese zu isolieren. Der Forscher publizierte diese und eine zweite Zero-Day ("BlueHammer") als Protest gegen die Zusammenarbeit mit Microsofts Security Response Center (MSRC). Für deutsche Nutzer, Unternehmen und Behörden stellt dies eine erhebliche Bedrohung dar, da die weit verbreitete Windows-Umgebung damit anfällig für lokale Angriffe wird. Besonders kritisch ist die Situation für Organisationen mit privilegiertem Zugriff und Cloud-basierten Sicherheitsarchitekturen. Während Microsoft bereits an Fixes arbeitet, bleibt die öffentliche Verfügbarkeit des Exploits ein erhebliches Sicherheitsrisiko für alle betroffenen Systeme in Deutschland.

Der Exploit für “RedSun” wurde von Will Dormann, Principal Vulnerability Analyst bei Tharros, gegenüber BleepingComputer bestätigt. Der Forscher hat detailliert dokumentiert, wie die Attacke funktioniert: Der Exploit nutzt die “Cloud Files API”, schreibt eine EICAR-Testdatei und nutzt dann Opcodes sowie ein Race Condition bei Volume Shadow Copy Operationen aus. Durch Verzeichnis-Junctions und Reparse Points wird die automatische Dateiumschreibung auf die kritische Systemdatei “C:\Windows\system32\TieringEngineService.exe” umgeleitet. Die Cloud Files Infrastructure führt die manipulierte Datei anschließend mit SYSTEM-Privilegien aus – mit der Folge, dass der Angreifer vollständige Kontrolle über das System erhält.

Besonders problematisch ist die technische Funktionsweise des Exploits: Windows Defender, das eigentlich für Schutz zuständig sein sollte, wird zur Waffe gegen den eigenen Host. Dormann berichtet, dass einige Antivirus-Scanner auf VirusTotal den Exploit erkennen, weil dieser die EICAR-Testdatei enthält. Durch Verschlüsselung der EICAR-Strings ließ sich die Erkennungsrate deutlich reduzieren.

Dies ist bereits der zweite kritische Exploit, den “Chaotic Eclipse” innerhalb kurzer Zeit veröffentlicht hat. Vor einer Woche folgte der “BlueHammer”-Exploit (CVE-2026-33825), den Microsoft inzwischen durch das April-Patch-Tuesday-Update geschlossen hat. Beide Veröffentlichungen erfolgen als Protest gegen Microsofts Umgang mit Sicherheitsforschern.

Der Forscher äußerte sich frustriert über seine Erfahrungen mit dem MSRC: “Ich hätte normalerweise den offiziellen Offenlegungsprozess durchlaufen, aber Microsoft drohte mir persönlich, mein Leben zu zerstören – und das haben sie auch getan.” Er kritisiert, dass Microsoft wie ein “Kindergarten” vorgegangen sei und “jedes kindliche Spielchen” verwendet habe.

Microsoft reagierte mit einer allgemeinen Stellungnahme und betonte sein Commitment zu koordinierter Offenlegung und schnellen Updates zum Schutz von Kunden. Doch die wiederholten Zero-Day-Veröffentlichungen stellen Microsoft unter erheblichen Druck und werfen Fragen zur Kommunikation mit der Sicherheitsforschungs-Community auf.

Für deutsche Unternehmen und Privatnutzer ist die Situation kritisch: Systeme mit Windows Defender sind anfällig für lokale Privilege-Escalation-Angriffe. Sicherheitsverantwortliche sollten ihre Systeme verstärkt überwachen und zusätzliche Sicherheitsschichten implementieren, bis Microsoft beide Schwachstellen vollständig behoben hat.

Ähnliche Artikel