SchwachstellenHackerangriffe

Microsoft Defender: Drei Zero-Day-Lücken aktiv ausgenutzt – zwei noch immer ungepatcht

Microsoft Defender: Drei Zero-Day-Lücken aktiv ausgenutzt – zwei noch immer ungepatcht
Zusammenfassung

Sicherheitsforschungen zeigen aktuell erhebliche Lücken in Microsoft Defender: Der Spezialist Huntress warnt vor drei neu offengelegten Zero-Day-Schwachstellen, die bereits aktiv von Cyberkriminellen ausgenutzt werden. Die Vulnerabilities mit den Codenamen BlueHammer, RedSun und UnDefend ermöglichen es Angreifern, auf kompromittierten Systemen erweiterte Berechtigungen zu erlangen oder Sicherheitsupdates zu blockieren. Während Microsoft BlueHammer bereits durch Patches adressiert hat, bleiben RedSun und UnDefend weiterhin ohne offizielle Lösung. Die Schwachstellen wurden von dem Sicherheitsforscher Chaotic Eclipse als Zero-Days veröffentlicht, nachdem Microsoft den Disclosure-Prozess nicht seinen Vorstellungen entsprechend handhabte. Für deutsche Nutzer und Unternehmen stellt dies ein erhebliches Risiko dar, da Microsoft Defender eines der am weitesten verbreiteten Sicherheitstools im deutschsprachigen Raum ist. Besonders betroffenen sind Organisationen, die auf die automatischen Sicherheitsupdates des Systems verlassen. Die Berichte zeigen bereits aktive Exploitierungen in freier Wildbahn seit Mitte April 2026, was die Bedrohung konkret und unmittelbar macht.

Huntress hat in einer Reihe von Meldungen auf der Plattform X dokumentiert, dass alle drei Schwachstellen derzeit in freier Wildbahn ausgenutzt werden. Die Timeline zeigt dabei ein gezieltes Vorgehen: Seit dem 10. April 2026 wird BlueHammer (CVE-2026-33825) aktiv angegriffen, gefolgt von RedSun und UnDefend am 16. April. Die beobachteten Exploits deuten auf manuelle, interaktive Angreifer hin – nicht auf automatisierte Malware-Kampagnen.

Die Sicherheitslücken unterscheiden sich in ihrer Gefährlichkeit: BlueHammer und RedSun sind sogenannte Local Privilege Escalation (LPE)-Schwachstellen. Sie ermöglichen Angreifern, von einem eingeschränkten Benutzeraccount aus Administratorrechte zu erlangen. UnDefend dagegen funktioniert anders – diese Lücke ermöglicht Denial-of-Service-Attacken (DoS) und blockiert insbesondere die Aktualisierung von Malware-Definitionsdatenbanken. Das ist besonders tückisch: Wenn die Schutzaktualisierungen nicht mehr eingespielt werden können, wird Defender praktisch funktionslos.

Huntress-Analysten haben bei den Angriffen beobachtet, wie die Angreifer typische Aufklärungsbefehle nutzen: “whoami /priv” zur Privilegienüberprüfung, “cmdkey /list” zur Enumeration gespeicherter Anmeldedaten und “net group” für Informationen zu Gruppen- und Benutzerverwaltung. Diese Befehle sind charakteristisch für erfahrene Angreifer, die nach einem initialen Eindringen gezielt weitere Zugriffsrechte erobern möchten.

Die schnelle Patch-Bereitstellung für BlueHammer durch Microsoft war notwendig, aber offenbart ein größeres Problem: Die Tatsache, dass zwei weitere Lücken weiterhin ungepatcht sind, stellt ein erhebliches Sicherheitsrisiko dar. Besonders problematisch ist die Situation für deutsche Unternehmen, die oft hohe Abhängigkeiten von Microsoft-Produkten aufweisen.

Huntress hat bereits Gegenmaßnahmen eingeleitet und die betroffene Organisation isoliert, um weitere Post-Exploitation-Aktivitäten zu verhindern. Microsoft hat sich bisher nicht öffentlich zu den verbleibenden zwei Lücken geäußert. Sicherheitsexperten empfehlen Administratoren, ihre Systeme kontinuierlich zu überwachen und verdächtige Aktivitäten zu dokumentieren, bis auch RedSun und UnDefend patched sind.

Ähnliche Artikel