- Drei Zero‑Days im Defender aktiv angegriffen: BlueHammer, RedSun und UnDefend ermöglichen u. a. SYSTEM‑Rechte, Update‑Blockaden und das Ausschalten des Defenders.
- Microsoft bestätigt laufende Attacken: Erste Angriffe auf BlueHammer seit dem 10. April, RedSun und UnDefend weiterhin ungepatcht ausnutzbar.
- CISA stuft Defender‑Lücke als „aktiv ausgenutzt“ ein: CVE‑2026‑33825 erlaubt lokale Privilegieneskalation bis SYSTEM.
- Exploit‑Welle durch Leak auf GitHub: Forscher „Nightmare‑Eclipse“ veröffentlichte mehrere Defender‑Exploits öffentlich.
- Dringende Empfehlung: Defender‑Plattformversion prüfen (mind. 4.18.26030.3011) und Updates sofort installieren.
Auslöser war ein einzelner Mensch mit dem Handle „Nightmare-Eclipse", der Anfang April mehrere Zero-Day-Exploits für Windows Defender auf GitHub veröffentlichte. Damit standen funktionierende Angriffswerkzeuge plötzlich jedem zur Verfügung; inklusive Cyberkriminellen, die keine Sekunde warteten. BlueHammer wurde ab dem 10. April aktiv im Netz gesichtet. Sicherheitsfirmen wie HuntressLabs bestätigen reale Angriffe.
Was die drei Lücken konkret ermöglichen, ist ernst zu nehmen.
BlueHammer, offiziell CVE-2026-33825, nutzt eine Race-Condition im Defender-Updateprozess. Angreifer können Dateien im Systemverzeichnis platzieren und SYSTEM-Rechte erlangen, also vollständige Kontrolle über das Gerät. Die US-Cybersicherheitsbehörde CISA hat die Lücke in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen. Ein Patch existiert, Angriffe laufen trotzdem weiter, weil zu viele Systeme noch nicht aktualisiert sind.
RedSun missbraucht die Cloud Files API, manipuliert Schattenkopien und ermöglicht das Einschleusen ausführbarer Dateien. Kein Patch verfügbar. UnDefend geht noch direkter vor: Angreifer können den Defender selbst deaktivieren oder seine Update-Funktionen blockieren: das Schutzprogramm wird gegen sich selbst gewendet. Ebenfalls ungepatcht.
Microsoft hat bestätigt, dass alle Defender-Plattformversionen vor 4.18.26030.3011 verwundbar sind. Wer diese Version noch nicht hat, ist gefährdet. Updates laufen normalerweise automatisch, aber Microsoft empfiehlt ausdrücklich, die Verteilung manuell zu kontrollieren, weil automatisch nicht dasselbe ist wie sofort.
Was zusätzlich verwirrt: Auch auf Systemen, auf denen Defender deaktiviert ist, schlagen Scanner Alarm, weil die verwundbaren Dateien trotzdem vorhanden sind. Microsoft sagt, solche Systeme seien nicht direkt angreifbar. Die Warnung erscheint dennoch. Das erzeugt Unsicherheit, genau dann, wenn Klarheit gefragt wäre.
Für Privatnutzer gilt: Windows Update sofort ausführen, Defender-Version prüfen, ungewöhnliche Prozesse oder ausbleibende Signaturupdates ernst nehmen. Für Unternehmen ist die Lage komplexer. In Netzwerken können die Lücken lateral genutzt werden, wer einen Rechner kompromittiert, kann sich von dort durch die gesamte Domäne bewegen. Monitoring verschärfen, Patch-Verteilung priorisieren, keine Zeit verlieren.
Was diese Exploit-Welle zeigt, geht über den konkreten Vorfall hinaus. Moderne Sicherheitsarchitektur ist nur so stark wie ihr schwächster Baustein. Ein einzelner Forscher, ein öffentlicher GitHub-Upload, ein paar Tage: und aus einer internen Schwachstelle wird eine globale Bedrohung. Das ist nicht neu, aber es wird nicht besser.
Kommentare
Kommentar veröffentlichen
Kommentar