Die drei Exploits zeigen ein systemisches Problem in der Funktionsweise von Windows Defender auf. Sie missbrauchen unterschiedliche Schwachstellen in den privilegierten Dateibetrieb des Antivirus-Programms, ohne dass dieses seine eigenen Input-Output-Pfade zur Laufzeit validiert.
BlueHammer und die TOCTOU-Schwachstelle
Der erste Exploit, BlueHammer, nutzt eine Time-of-Check to Time-of-Use (TOCTOU)-Schwachstelle in Defenders Signatur-Update-Workflow aus. Das Prinzip ist simpel, aber wirkungsvoll: Wenn Defender eine verdächtige Datei erkennt und versucht, sie umzuschreiben, kann ein Angreifer eine Race Condition ausnutzen und die Umleitung auf einen beliebigen Ort vornehmen. Das Resultat ist SYSTEM-Level-Zugriff ohne komplexe Kernel-Exploits oder Memory-Corruption-Techniken — nur durch die Manipulation von Defenders Dateisystem-Interaktionen während der Bereinigung.
RedSun und UnDefend: Die unbepatchten Bedrohungen
RedSun funktioniert ähnlich wie BlueHammer, zielt aber auf TieringEngineService.exe ab, einen Hintergrund-Prozess von Defender, der erkannte Dateien klassifiziert. Angreifer müssen lediglich einen EICAR-Test-String — ein Werkzeug, das Sicherheitsteams für sichere Tests verwenden — einbetten. Wenn Defender diesen String erkennt, wird eine Bereinigungschleifen eingeleitet, und RedSun gewinnt das Rennen zur Umleitung der Datei-Umschreibung. Danach wird ein vom Angreifer eingepflanztes Binary als SYSTEM ausgeführt.
RedSun funktioniert gegen vollständig gepatchte Systeme von Windows 10, Windows 11, Windows Server 2019 und später. UnDefend wird nach dem Erlangen von SYSTEM-Zugriff bereitgestellt und deaktiviert dann progressiv Defenders Bedrohungsintelligenz, ohne offensichtliche Alarme auszulösen.
Aktive Angriffe im Einsatz
Huntress Labs beobachtete bereits targeted Attack-Aktivitäten mit allen drei Exploits. Die Angreifer verwenden professionelle Tradecraft: Sie führen Privilege-Enumeration-Befehle aus und lagern Binärdateien in Verzeichnissen mit niedrigem Erkennungsrauschen wie “Pictures” oder zweibuchstabigen Unterordnern in Downloads ein. Diese Umbenennung reduziert Erkennungsraten auf VirusTotal erheblich.
Empfehlungen für Unternehmen
Sicherheitsexperten empfehlen deutschen Organisationen mehrere dringende Maßnahmen: Installieren Sie Microsofts April-2026-Updates und verifizieren Sie, dass Antimalware Platform v4.18.26050.3011 vorhanden ist. Implementieren Sie Multi-Faktor-Authentifizierung auf allen VPN- und Remote-Access-Pfaden — laut Huntress Labs begannen alle dokumentierten Angriffe mit kompromittierten SSL-VPN-Konten ohne MFA. Blockieren Sie die Ausführung aus Benutzer-beschreibbaren Verzeichnissen und überwachen Sie Hash-Änderungen von TieringEngineService.exe kontinuierlich.