Die Situation verschärft sich rasant: Seit April 10 werden die Windows-Sicherheitslücken von Cyberkriminellen ausgenutzt. Das bestätigte das Sicherheitsunternehmen Huntress Labs in dieser Woche. Die Bedrohungslage ist besonders kritisch, weil es sich um echte Zero-Days handelte – Schwachstellen ohne offiziellen Patch zum Zeitpunkt der Veröffentlichung.
Der Forscher, der sich selbst als “Nightmare-Eclipse” bezeichnet, hatte die Exploits aus Unmut über Microsofts Disclosure-Prozess öffentlich gemacht. “BlueHammer” wird von Microsoft inzwischen als CVE-2026-33825 geführt und wurde im April-Sicherheitsupdate gepatcht. Die beiden anderen Lücken – RedSun und UnDefend – bleiben jedoch weiterhin ungepatcht.
Besonders tückisch: RedSun umgeht Sicherheitsmaßnahmen
Die RedSun-Lücke ist besonders besorgniserregend. Sie ermöglicht Angreifern, SYSTEM-Privilegien auf Windows 10, Windows 11 und Windows Server 2019 oder später zu erlangen – selbst wenn Windows Defender aktiviert ist und die neuesten Patches installiert sind. Der Forscher erklärte das absurde Verhalten: “Wenn Windows Defender eine Datei mit einem Cloud-Tag erkennt, beschließt das Antivirus-Programm auf dumme Weise, diese Datei einfach an ihren ursprünglichen Ort zurückzuschreiben.” Diese Fehlfunktion wird zur Übernahme von Systemdateien und zur Rechteerweiterung ausgenutzt.
Belege für aktive Angreifer-Kampagnen
Huntress Labs dokumentierte, dass die Exploits in Breaches eingesetzt werden, bei denen auch SSLVPN-Zugangsdaten kompromittiert wurden. Die Sicherheitsexperten identifizierten “hands-on-keyboard threat actor activity” – also manuelle Angreifer, die aktiv im System herumwerkeln. Das ist ein klassisches Zeichen für gezielte Angriffe statt automatisierter Malware-Verbreitung.
Microsofts Reaktion und die Kritik
Microsoft-Sprecher betonten gegenüber BleepingComputer die Unterstützung für “Coordinated Vulnerability Disclosure” und die Verpflichtung, Sicherheitsprobleme schnell zu beheben. Die Antwort wirkt defensiv – Microsoft steht unter Druck, weil der Sicherheitsforscher öffentlich kritisiert hatte, dass der Hersteller nicht angemessen reagiert habe.
Handlungsbedarf für deutsche Organisationen
Deutsche Unternehmen und Behörden sollten sofort handeln: Windows-Systeme müssen auf die aktuellen Patches aktualisiert werden, insbesondere das BlueHammer-Update vom April 2026. Für die noch nicht gepatchten Lücken sind defensive Maßnahmen erforderlich – etwa die Überwachung verdächtiger Defender-Aktivitäten und die Segmentierung von Netzwerken. Die Tatsache, dass Forscher die Exploits veröffentlichen und Angreifer sie sofort nutzen, verdeutlicht ein systemisches Problem in der Sicherheitsforschungs-Community und dem Disclosure-Prozess.