CISA: Microsoft-Defender-Lücke BlueHammer wird in Ransomware-Angriffen ausgenutzt

Zusammenfassung

Die Schwachstelle BlueHammer in Microsoft Defender, geführt als CVE-2026-33825, wird nach Angaben der US-Behörde CISA in Ransomware-Angriffen ausgenutzt. Die Lücke war demnach bereits als Zero-Day im Einsatz, bevor Microsoft Korrekturen bereitstellte. Öffentlich bekannt wurde CVE-2026-33825 am 2. April, Patches folgten am 14. April. Microsoft teilte damals mit, dass ein authentifizierter Angreifer die Schwachstelle zur Rechteausweitung missbrauchen kann. Während Microsoft in seinem zuletzt am 30. April aktualisierten Sicherheitshinweis einräumt, dass eine Ausnutzung „wahrscheinlicher“ sei, bestätigt das Unternehmen dort keine Angriffe unter realen Bedingungen. Hinweise auf tatsächliche Ausnutzung kamen stattdessen von Huntress, und CISA hat den Eintrag in seinem Katalog bekannter ausgenutzter Schwachstellen inzwischen präzisiert: Die Behörde schreibt nun ausdrücklich, dass BlueHammer in Ransomware-Kampagnen eingesetzt wurde.

CVE-2026-33825 ist eine Schwachstelle in Microsoft Defender, die unter dem Namen BlueHammer verfolgt wird. Nach Angaben von CISA wird sie in Ransomware-Angriffen ausgenutzt. Die Behörde hatte BlueHammer am 22. April in ihren Katalog Known Exploited Vulnerabilities (KEV) aufgenommen und den Eintrag nun so aktualisiert, dass die Lücke in Ransomware-Kampagnen verwendet wurde.

Veröffentlicht wurde die Schwachstelle am 2. April. Microsoft stellte am 14. April Patches bereit und erklärte dazu, ein authentifizierter Angreifer könne die Sicherheitslücke zur Rechteausweitung ausnutzen. Im Microsoft-Hinweis, der zuletzt am 30. April aktualisiert wurde, heißt es zwar, eine Ausnutzung sei „wahrscheinlicher“, eine Bestätigung für Angriffe unter realen Bedingungen enthält der Hinweis jedoch nicht.

Dass BlueHammer bereits vor Verfügbarkeit der Updates als Zero-Day missbraucht wurde, beobachtete laut Bericht das Cybersicherheitsunternehmen Huntress. Demnach sah Huntress die Schwachstelle in Angriffen, bevor Microsoft Patches veröffentlicht hatte.

BlueHammer gehört zu mehreren Exploits, die in den vergangenen Monaten von einem verärgerten Forscher mit den Namen Chaotic Eclipse und Nightmare Eclipse offengelegt wurden. Der Forscher ist dem Text zufolge unzufrieden mit Microsofts Umgang mit Schwachstellenmeldungen. Deshalb wurden mehrere Exploits öffentlich gemacht, bevor Microsoft Gelegenheit hatte, Fehlerbehebungen zu veröffentlichen.

Unklar ist bislang, welche Ransomware-Gruppe CVE-2026-33825 ausgenutzt hat. Dem Bericht zufolge gibt es offenbar keine aktuellen Meldungen, die den Einsatz der Schwachstelle näher beschreiben.

Der aktualisierte KEV-Eintrag von CISA wirft zugleich Fragen zum praktischen Nutzen solcher Nachträge für Verteidiger auf. Laut Bericht benachrichtigt CISA Nutzer nicht, wenn eine bereits in der KEV-Liste geführte Schwachstelle später von Ransomware-Gruppen ausgenutzt wird.

Das Threat-Intelligence-Unternehmen GreyNoise stellte Anfang dieses Jahres ein kostenloses Werkzeug vor, das die Nachverfolgung solcher KEV-Aktualisierungen erleichtern soll.

CISA: Microsoft-Defender-Lücke BlueHammer wird in Ransomware-Angriffen ausgenutzt

Ähnliche Artikel

Neueste Artikel