CISA hat bestätigt, dass die inzwischen gepatchte Microsoft-Defender-Schwachstelle BlueHammer, alias CVE-2026-33825, in Ransomware-Angriffen missbraucht wurde. Welche Gruppe hinter der Ausnutzung steckt, ist nach Angaben der Behörde derzeit nicht bekannt.

BlueHammer war zuerst als Zero-Day bekannt geworden. Der anonyme Forscher Chaotic Eclipse, der auch unter dem Namen Nightmare-Eclipse auftritt, hatte die Schwachstelle im April 2026 veröffentlicht. Mit der Bestätigung durch CISA ist nun klar, dass die Lücke bereits vor ihrer Schließung praktisch ausgenutzt wurde.

Weitere technische Details zur konkreten Angriffskette oder zu den verantwortlichen Tätern nennt der Quelltext nicht. Ebenso bleibt offen, in welchem Umfang die Schwachstelle in den beobachteten Ransomware-Angriffen eingesetzt wurde.

Die Meldung steht in einer Woche, in der sich mehrere Sicherheitsvorfälle und Forschungsergebnisse um schwache Prüfmechanismen, Fehlkonfigurationen und missbrauchbare Standardfunktionen drehten. Für BlueHammer selbst ist die zentrale neue Information jedoch die Bestätigung der aktiven Ausnutzung durch CISA.