Nach Angaben von Huntress Labs entdeckten die Forscher Exploits für UnDefend und RedSun auf einem Windows-Gerät, das über ein kompromittiertes SSLVPN-Benutzerkonto angegriffen worden war. Die Spuren deuteten dabei auf manuelle Angreiferaktivität direkt an der Tastatur hin. „Das Huntress SOC beobachtet den Einsatz der Exploit-Techniken BlueHammer, RedSun und UnDefend von Nightmare-Eclipse", erklärten die Forscher.
Microsoft führt die BlueHammer-Schwachstelle inzwischen als CVE-2026-33825 und hat sie mit den Sicherheitsupdates vom April 2026 geschlossen. Die beiden anderen Lücken bleiben dagegen offen.
Wie BleepingComputer zuvor berichtete, können Angreifer den RedSun-Exploit nutzen, um auf Systemen mit aktiviertem Windows Defender SYSTEM-Rechte zu erlangen – auf Windows 10, Windows 11 sowie Windows Server 2019 und neuer. Das gelingt selbst dann noch, wenn die Patches des April-Patchdays bereits installiert sind.
Der Forscher beschreibt die zugrunde liegende Schwachstelle so: Wenn Windows Defender feststelle, dass eine schädliche Datei eine Cloud-Markierung trage, schreibe das Schutzprogramm die gefundene Datei aus unerfindlichen Gründen einfach wieder an ihren ursprünglichen Speicherort zurück. „Der Proof-of-Concept missbraucht dieses Verhalten, um Systemdateien zu überschreiben und Administratorrechte zu erlangen", so der Forscher.
Auf Anfrage von BleepingComputer zu den geschilderten Problemen beim Offenlegungsprozess äußerte sich ein Microsoft-Sprecher: „Microsoft hat sich gegenüber seinen Kunden verpflichtet, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte so schnell wie möglich abzusichern, um die Kunden zu schützen." Zugleich unterstütze das Unternehmen die koordinierte Offenlegung von Schwachstellen – eine branchenweit verbreitete Praxis, die sicherstelle, dass Probleme vor einer Veröffentlichung sorgfältig untersucht und behoben werden, und die so sowohl dem Schutz der Kunden als auch der Sicherheitsforschung diene.
