Nach Angaben von Huntress geht es um drei eng zusammenhängende Sicherheitslücken in Microsoft Defender, die ein Forscher unter dem Namen Chaotic Eclipse (auch Nightmare-Eclipse) als Zero-Days veröffentlicht hat. Der Schritt erfolgte laut Quelle als Reaktion auf den Umgang von Microsoft mit dem Offenlegungsprozess. Der Zugriff auf BlueHammer setzt eine GitHub-Anmeldung voraus.

Die Schwachstellen unterscheiden sich in ihrer Wirkung: BlueHammer und RedSun ermöglichen eine lokale Rechteausweitung in Microsoft Defender. UnDefend dagegen lässt sich nutzen, um einen Denial-of-Service-Zustand herbeizuführen und auf diese Weise Definitionsupdates zu blockieren.

Bislang ist nur eine der drei Lücken geschlossen. Microsoft hat BlueHammer mit den Patch-Tuesday-Updates dieser Woche adressiert; die Schwachstelle wird unter der Kennung CVE-2026-33825 geführt. Für RedSun und UnDefend liegt zum Zeitpunkt der Veröffentlichung kein Fix vor.

In einer Reihe von Beiträgen auf X erklärte Huntress, alle drei Schwachstellen in freier Wildbahn beobachtet zu haben. BlueHammer werde demnach seit dem 10. April 2026 ausgenutzt; am 16. April folgte der Einsatz von Proof-of-Concept-Exploits für RedSun und UnDefend.

Den Aufrufen seien typische Erkundungsbefehle vorausgegangen, darunter whoami /priv, cmdkey /list und net group. Diese deuten laut Huntress auf manuell agierende Angreifer hin, die direkt an der Tastatur arbeiten.

Nach eigenen Angaben hat Huntress die betroffene Organisation isoliert, um weitere Aktivitäten nach der Ausnutzung zu verhindern. The Hacker News hat Microsoft um eine Stellungnahme gebeten; eine Reaktion stand zum Zeitpunkt der Meldung aus.