SchwachstellenHackerangriffeMalware

Microsoft schließt kritische Zero-Day-Lücken in Defender – aktive Ausnutzung bestätigt

Von CyberDeutsch Redaktion
Microsoft schließt kritische Zero-Day-Lücken in Defender – aktive Ausnutzung bestätigt
Zusammenfassung

Microsoft hat diese Woche Sicherheitspatches für zwei kritische Anfälligkeiten in Windows Defender veröffentlicht, die bereits von Angreifern ausgenutzt wurden. Die erste Schwachstelle (CVE-2026-41091) ermöglicht es Unbefugten, ihre Berechtigungen auf Systemebene zu erweitern, während die zweite Sicherheitslücke (CVE-2026-45498) für Denial-of-Service-Angriffe missbraucht werden kann. Beide Zero-Day-Anfälligkeiten sind Varianten des BlueHammer-Exploits, der bereits öffentlich dokumentiert ist. Die US-Cybersecurity-Behörde CISA hat beide Lücken in ihre Liste der aktiv ausgebeuteten Sicherheitsmängel aufgenommen und fordert Bundesbehörden auf, die Patches bis zum 3. Juni einzuspielen. Für deutsche Nutzer, Unternehmen und Behörden ist dies hochrelevant: Da Windows Defender ein Standardschutzprogramm darstellt und die Anfälligkeiten bereits in freier Wildbahn ausgenutzt werden, besteht unmittelbare Gefahr. Besonders Organisationen im kritischen Infrastrukturbereich sollten sofort handeln. Das Update auf Microsoft Defender Antimalware Platform Version 4.18.26040.7 ist essentiell, um Privilege-Escalation-Attacken und Systemausfälle zu verhindern.

Die beiden neuen Defender-Lücken basieren auf Exploits, die der Sicherheitsforscher Chaos Eclipse unter dem Namen “BlueHammer” bereits öffentlich zur Verfügung gestellt hat. Die Varianten wurden als “RedSun” und “UnDefend” bekannt. Microsoft hat die Schwachstellen in der Defender Antimalware Platform Version 4.18.26040.7 behoben.

Die CVE-2026-41091 mit einem CVSS-Score von 7.8 wird als “Link-Following”-Fehler klassifiziert. Diese Art der Privilege Escalation stellt ein enormes Risiko dar: Angreifer mit eingeschränkten Benutzerrechten könnten dadurch volle Systemkontrolle erlangen – der erste Schritt zu Ransomware-Deployment, Datendiebstahl oder Lateral Movement in Unternehmensnetzwerken.

Die zweite Lücke CVE-2026-45498 (CVSS 4.0) ermöglicht Denial-of-Service-Attacken, bei denen kritische Sicherheitssysteme lahmgelegt werden können. Obwohl der Score niedriger ausfällt, bleibt auch diese Lücke aus operativer Perspektive problematisch.

Microsoft betont, dass Systeme mit deaktiviertem Defender nicht exploitierbar sind – eine wichtige Information für Organisationen, die alternative Sicherheitslösungen einsetzen. Dennoch sollten alle Anwender auf die aktuelle Version aktualisieren, da die Defender-Dateien selbst bei Deaktivierung auf dem System verbleiben.

Die US-Cybersecurity-Agentur CISA hat beide Lücken auf ihre KEV-Liste aufgenommen und fordert Bundesbehörden zum Patchen bis 3. Juni auf. Diese Frist sollte auch für private deutsche Unternehmen als Orientierungspunkt dienen – wer später patcht, riskiert aktive Angriffe.

Parallel warnt CISA vor fünf weiteren älteren Schwachstellen, die nun wieder aktiv ausgenutzt werden: darunter CVE-2008-4250 (Windows-RCE aus 2008) und zwei Use-After-Free-Bugs im Internet Explorer (CVE-2010-0249, CVE-2010-0806). Diese Altlasten zeigen: Auch Jahre alte, längst bekannte Lücken bleiben goldwert für Angreifer, wenn sie nicht gepatcht sind.

Für deutsche Organisationen gilt: Defender-Updates sollten mit höchster Priorität eingeplant werden. Das BSI empfiehlt, eine strukturierte Patch-Management-Strategie zu verfolgen und Sicherheitsupdates testgleich einzuspielen – zumal DSGVO-Verstöße durch ausbleibende Patches zu empfindlichen Bußgeldern führen können.

Ähnliche Artikel