Defender
Die Schwachstelle steckt in Microsoft Defender und beruht auf einer fehlerhaften Auflösung von Verknüpfungen, bevor auf eine Datei zugegriffen wird – einem sogenannten Link-Following-Problem. Defender folgt dabei einem Verweis (etwa einem symbolischen Link), ohne ausreichend zu prüfen, wohin dieser tatsächlich zeigt. Ein Angreifer kann eine solche Verknüpfung gezielt so präparieren, dass eine an sich legitime Dateioperation des Schutzprogramms auf ein vom Angreifer gewähltes Ziel umgelenkt wird. Voraussetzung ist, dass der Angreifer bereits über ein gültiges Konto auf dem System verfügt und den Angriff lokal ausführt – aus der Ferne lässt sich die Lücke nicht ausnutzen. Gelingt der Angriff, kann er seine Rechte auf dem betroffenen System ausweiten und sich höhere Berechtigungen verschaffen, als ihm eigentlich zustehen. Da Defender selbst mit weitreichenden Systemrechten arbeitet, eignet sich gerade diese Komponente als Hebel für eine solche Rechteausweitung.
Setzen Sie die vom Hersteller beschriebenen Gegenmaßnahmen um. Stehen keine Gegenmaßnahmen zur Verfügung, sollte der Einsatz des betroffenen Produkts eingestellt werden.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Microsoft veröffentlicht größtes Patch Tuesday-Paket seiner Geschichte 10.06.2026
- Artikel Forscher veröffentlicht Windows-Zero-Day „RoguePlanet“ für Rechteausweitung 10.06.2026
- Artikel Belgische Cyberbehörde meldet aktive Angriffe auf kritische Netlogon-Lücke in Windows Server 01.06.2026
- Artikel Microsoft verurteilt öffentliche Zero-Day-Veröffentlichungen – GitHub-Konto von Forscher gelöscht 28.05.2026
- Artikel GitHub-Einbruch über manipulierte Nx-Console-Erweiterung: 3.800 Repositories abgeflossen 25.05.2026
- Artikel Microsoft: Zwei aktiv ausgenutzte Schwachstellen in Defender 21.05.2026
- Artikel Microsoft schließt zwei aktiv ausgenutzte Zero-Day-Lücken in Defender 21.05.2026
- Artikel Microsoft schließt zwei aktiv ausgenutzte Zero-Day-Lücken in Defender 21.05.2026