SchwachstellenHackerangriffe

Microsoft Defender: Kritische Sicherheitslücke wird aktiv ausgenutzt

Microsoft Defender: Kritische Sicherheitslücke wird aktiv ausgenutzt
Zusammenfassung

Eine kürzlich bekannt gewordene Sicherheitslücke in Microsoft Defender wird bereits von Angreifern ausgenutzt. Die Schwachstelle (CVE-2026-33825) mit einem CVSS-Score von 7,8 ermöglicht es Attackern mit niedrigen Systemrechten, auf vollständige Administratorberechtigungen zu eskalieren. Nachdem ein Sicherheitsforscher die Lücke am 2. April öffentlich offenbarte und Proof-of-Concept-Code veröffentlichte, begannen bereits wenige Tage später aktive Angriffe in der freien Wildbahn. Das Problem liegt in einer Zeitfenster-Sicherheitslücke (TOCTOU) im Defender-Updatemechanismus, die es Angreifern ermöglicht, die SAM-Datenbank auszulesen, NTLM-Passwort-Hashes zu extrahieren und Systemrechte zu erlangen. Microsoft patcht die Schwachstelle zwar seit dem 14. April, doch die breite Verfügbarkeit von funktionierendem Exploit-Code beschleunigt die Verbreitung. Deutsche Unternehmen und Behörden sind unmittelbar betroffen, insbesondere wenn sie Windows-Systeme mit Microsoft Defender einsetzen. Die US-Behörde CISA hat die Lücke bereits als aktiv ausgenutzte Schwachstelle gelistet und fordert Patchung bis Mai auf. Schnelles Handeln ist essentiell, um Systeme vor Kompromittierung zu schützen.

Die Sicherheitslücke BlueHammer nutzt eine Race-Condition (TOCTOU-Schwachstelle) im Signatur-Update-Mechanismus von Microsoft Defender aus. Der Exploit arbeitet mit sogenannten Oplocks – spezielle Betriebssystem-Sperrmechanismen – um Defenders Operationen zu unterbrechen und dann eine Signatur-Aktualisierung zu initiieren. Dies zwingt Defender dazu, die Security Account Manager (SAM) Datenbank in ein öffentliches Verzeichnis zu kopieren, wo der Angreifer sie extrahieren kann.

Die technische Funktionsweise ist bemerkenswert: Der Exploit parst die SAM-Hive-Datei, dekryptiert die NT-Hashes aller Benutzer und kann dann Passwörter manipulieren, um Session-Token mit administrativen Rechten zu generieren. Dies führt zu vollständigen Systemrechten.

Doch BlueHammer ist nicht das einzige Werkzeug im Arsenal der Angreifer. Der ursprüngliche Forscher veröffentlichte auch zwei weitere Exploit-Methoden: RedSun und UnDefend. RedSun manipuliert kritische Systemdateien, um Defender dazu zu bringen, eine Malware-Kopie in das System32-Verzeichnis zu platzieren. UnDefend wiederum deaktiviert Defender komplett, indem es Definitions-Dateien sperrt und so die Antivirus-Software handlungsunfähig macht.

Die Sicherheitsfirma Huntress dokumentierte reale Angriffe zwischen dem 10. und 16. April. Dabei wurden Angreifer über FortiGate SSL-VPN-Gateways in Netzwerke eindringen. Verdächtige IP-Adressen wurden in Russland und anderen Regionen geolokalisiert. Die Angreifer zeigten allerdings mangelndes technisches Know-how bei der Exploitation – ihre Versuche scheiterten, führten aber zu manuellen Aufklärungsaktivitäten vor Ort.

Bemerkenswert ist, dass die Angreifer Dateien aus typischen Benutzer-Verzeichnissen wie dem Pictures-Ordner oder Downloads staging und ausführten – eine klassische Taktik, um die Erkennung durch Sicherheitssysteme zu erschweren.

Die US-amerikanische Cybersecurity-Behörde CISA hat die Lücke als aktiv ausgenutzt in ihr Katalog der bekannten Exploited Vulnerabilities aufgenommen und fordert Bundesbehörden auf, bis zum 6. Mai zu patchen. Dies unterstreicht die ernst zu nehmende Bedrohung. Für deutsche Organisationen ist ein sofortiges Einspielen des April-Security-Updates essentiell.

Ähnliche Artikel