Direkt zum Hauptbereich

BlueHammer, RedSun & UnDefend: Kritische Zero-Days im Windows Defender gefährden Systeme

Es gibt eine bittere Ironie in dieser Geschichte. Der Windows Defender: das Programm, das Millionen Windows-Nutzer vor Angriffen schützen soll, ist selbst zur Einfallstür geworden. Und nicht theoretisch, nicht in einem Forschungslabor, nicht als Proof-of-Concept. Sondern in realen Angriffswellen, die seit Anfang April laufen.

JZ-Überblick (Kurz und knackig):
  • Drei Zero‑Days im Defender aktiv angegriffen: BlueHammer, RedSun und UnDefend ermöglichen u. a. SYSTEM‑Rechte, Update‑Blockaden und das Ausschalten des Defenders.
  • Microsoft bestätigt laufende Attacken: Erste Angriffe auf BlueHammer seit dem 10. April, RedSun und UnDefend weiterhin ungepatcht ausnutzbar.
  • CISA stuft Defender‑Lücke als „aktiv ausgenutzt“ ein: CVE‑2026‑33825 erlaubt lokale Privilegieneskalation bis SYSTEM.
  • Exploit‑Welle durch Leak auf GitHub: Forscher „Nightmare‑Eclipse“ veröffentlichte mehrere Defender‑Exploits öffentlich.
  • Dringende Empfehlung: Defender‑Plattformversion prüfen (mind. 4.18.26030.3011) und Updates sofort installieren.
Laptop in dunkler Umgebung; das Display zeigt eine abstrakte blaue Form, die Tastatur wird vom Bildschirmlicht beleuchtet.
Sicherheitswarnung für Windows‑Nutzer: Microsoft meldet aktive Angriffe über Schwachstellen im Defender.

Auslöser war ein einzelner Mensch mit dem Handle „Nightmare-Eclipse", der Anfang April mehrere Zero-Day-Exploits für Windows Defender auf GitHub veröffentlichte. Damit standen funktionierende Angriffswerkzeuge plötzlich jedem zur Verfügung; inklusive Cyberkriminellen, die keine Sekunde warteten. BlueHammer wurde ab dem 10. April aktiv im Netz gesichtet. Sicherheitsfirmen wie HuntressLabs bestätigen reale Angriffe.

Was die drei Lücken konkret ermöglichen, ist ernst zu nehmen.

BlueHammer, offiziell CVE-2026-33825, nutzt eine Race-Condition im Defender-Updateprozess. Angreifer können Dateien im Systemverzeichnis platzieren und SYSTEM-Rechte erlangen, also vollständige Kontrolle über das Gerät. Die US-Cybersicherheitsbehörde CISA hat die Lücke in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen. Ein Patch existiert, Angriffe laufen trotzdem weiter, weil zu viele Systeme noch nicht aktualisiert sind.

RedSun missbraucht die Cloud Files API, manipuliert Schattenkopien und ermöglicht das Einschleusen ausführbarer Dateien. Kein Patch verfügbar. UnDefend geht noch direkter vor: Angreifer können den Defender selbst deaktivieren oder seine Update-Funktionen blockieren: das Schutzprogramm wird gegen sich selbst gewendet. Ebenfalls ungepatcht.

Microsoft hat bestätigt, dass alle Defender-Plattformversionen vor 4.18.26030.3011 verwundbar sind. Wer diese Version noch nicht hat, ist gefährdet. Updates laufen normalerweise automatisch, aber Microsoft empfiehlt ausdrücklich, die Verteilung manuell zu kontrollieren, weil automatisch nicht dasselbe ist wie sofort.

Was zusätzlich verwirrt: Auch auf Systemen, auf denen Defender deaktiviert ist, schlagen Scanner Alarm, weil die verwundbaren Dateien trotzdem vorhanden sind. Microsoft sagt, solche Systeme seien nicht direkt angreifbar. Die Warnung erscheint dennoch. Das erzeugt Unsicherheit, genau dann, wenn Klarheit gefragt wäre.

Für Privatnutzer gilt: Windows Update sofort ausführen, Defender-Version prüfen, ungewöhnliche Prozesse oder ausbleibende Signaturupdates ernst nehmen. Für Unternehmen ist die Lage komplexer. In Netzwerken können die Lücken lateral genutzt werden, wer einen Rechner kompromittiert, kann sich von dort durch die gesamte Domäne bewegen. Monitoring verschärfen, Patch-Verteilung priorisieren, keine Zeit verlieren.

Was diese Exploit-Welle zeigt, geht über den konkreten Vorfall hinaus. Moderne Sicherheitsarchitektur ist nur so stark wie ihr schwächster Baustein. Ein einzelner Forscher, ein öffentlicher GitHub-Upload, ein paar Tage: und aus einer internen Schwachstelle wird eine globale Bedrohung. Das ist nicht neu, aber es wird nicht besser.




Von: Jonas
Bildquelle: Sunrise King auf Unsplash
JZ-App

Kommentare

Beliebte Beiträge

Windows 11: Protokoll-Schleife schluckt bis zu 500 GB Speicherplatz

Es gibt eine bestimmte Art von Panik, die Windows-Nutzer kennen. Der freie Speicherplatz wird weniger, ohne erkennbaren Grund. Kein neues Programm, kein heruntergeladener Film, kein Backup, das aus dem Ruder gelaufen ist. Einfach weniger Platz. Und dann immer weniger. Und dann ist die Festplatte voll. Was momentan auf manchen Windows-11-Geräten passiert, ist genau das, nur in einer Dimension, die selbst erfahrene IT-Leute zweimal hinschauen lässt. Nutzer im Microsoft Feedback Hub und auf Reddit dokumentieren Dateigrößen von 70 Gigabyte, 200 Gigabyte, in der Spitze über 513 Gigabyte. Eine einzige Datei. Auf einem System, auf dem sonst nichts Ungewöhnliches passiert. JZ-Überblick (Kurz und knackig): Ein Windows-11-Bug lässt eine Systemdatei auf bis zu 500 GB anwachsen. Ursache ist die Protokolldatei des Dienstes Capability Access Manager. Das Problem betrifft Systeme mit den Windows-11-Versionen 22H2 und 23H2. Microsoft hat den Fehler im optionalen Juni-Update adressiert; der finale Patc...

Der Zwei-Stufen-Plan für das Handgelenk: Wie Apple die Watch bis 2027 komplett umbaut

Apple hat seit Jahren eine klare Maxime bei der Watch: Wer ein neues Design will, wartet. Wer neue Technik will, bekommt sie früher. Und wer beides will, braucht Geduld. JZ-Überblick (Kurz und knackig): Apple Watch Series 12 erscheint im September 2026, zusammen mit iPhone 18 und iOS 20. Die Series 12 bringt große technische Upgrades, aber kein neues Design. Das radikale Redesign kommt erst mit der Series 13 im Herbst 2027. Neue Sensor‑Architektur, effizientere LTPO‑Displays und Apple Intelligence prägen beide Generationen. Die Gehäusegrößen 42 mm und 46 mm sind bereits seit der Series 10 Standard. Neue Generation voraus: Mit der Series 13 plant Apple ein komplett überarbeitetes Watch‑Design für 2027. Was sich für 2026 und 2027 abzeichnet, folgt genau dieser Logik, nur deutlicher als in den meisten Jahren zuvor. Die Series 12, die im Herbst 2026 erscheint, verändert optisch kaum etwas. Wer eine Series 11 am Handgelenk hat, wird den Unterschied von außen nicht sehen. Dieselbe Silhoue...

Haushalt 2027 beschlossen: Deutschlands teuerster Überbrückungsversuch

Das Bundeskabinett hat den Haushaltsentwurf für 2027 verabschiedet. 555,4 Milliarden Euro geplante Ausgaben, deutlich mehr als die 524,5 Milliarden im laufenden Jahr. Verteidigung: 109,7 Milliarden Euro, ein Drittel mehr als 2026. Soziales: erstmals über 200 Milliarden. Investitionen: 117,5 Milliarden für Infrastruktur, Bahnnetz, Brücken, Klimaprojekte. JZ-Überblick (Kurz und knackig): Das Bundeskabinett hat den Haushaltsentwurf für 2027 beschlossen, mit Ausgaben von 555,4 Milliarden Euro . Die Neuverschuldung steigt massiv : insgesamt über 200 Milliarden Euro , davon 118,7 Milliarden Euro im Kernhaushalt. Der Verteidigungsetat wächst um ein Drittel auf rund 109,7 Milliarden Euro, größter Anstieg aller Ressorts. Zur Finanzierung plant die Regierung Steuererhöhungen (u. a. Alkohol, Tabak, Plastikabgabe) und Kürzungen bei Rentenzuschüssen sowie im Klima‑ und Transformationsfonds. Der Haushalt gilt als Kraftakt : Trotz Einsparungen bleiben hohe Sozialausgaben, steigende Zinsen und g...

Wegen Schul-iPads: Samsung verklagt eine NRW-Kleinstadt

Datteln, eine Stadt im nördlichen Ruhrgebiet, hat ein Problem. Mehrere hundert Tablets müssen ersetzt werden, rund 600 Schülerinnen und Schüler warten auf neue Geräte. Die Stadt hat eine klare Vorstellung, was sie kaufen will: neue iPads. Alles andere in der Schul-IT: Apps, Verwaltung, Gerätemanagement, Support, ist seit der Pandemie auf Apple ausgerichtet. Ein Systemwechsel wäre nicht einfach ein anderer Einkauf. Es wäre ein Neustart. JZ-Überblick (Kurz und knackig): Samsung verklagt die Stadt Datteln (NRW) , weil sie für Schulen gezielt Apple‑iPads nachbestellen will. Im Kern geht es darum, ob Kommunen bei Nachbeschaffungen an einem bestehenden iPad‑System festhalten dürfen, oder produktneutral ausschreiben müssen. Datteln nutzt bereits rund 2.700 iPads , mehr als 600 Schüler warten wegen des Verfahrens auf neue Geräte. In erster Instanz bekam die Stadt Recht, nun verhandelt das Oberlandesgericht Düsseldorf, ein Gang zum EuGH gilt als möglich. Der Fall könnte zum Grundsatzurtei...

Das Ende des Rabatts: Spritpreise steigen sprunghaft, Bundesrat berät über Preisdeckel

Am 30. Juni endete der Tankrabatt. Wer an dem Tag noch schnell getankt hat, zahlte weniger. Wer am 1. Juli tankte, deutlich mehr. Einige Stationen zogen die Preise sogar schon am Nachmittag des 30. an, die günstig versteuerten Restbestände in den Tanklagern waren rascher aufgebraucht als üblich, weil viele Autofahrer noch schnell zugeschlagen hatten, und neue Lieferungen mit regulären Steuersätzen kamen früher in den Markt. JZ-Überblick (Kurz und knackig): Nach dem Ende des Tankrabatts steigen die Spritpreise sprunghaft, teils schon vor dem Stichtag. Der Wirtschaftsausschuss des Bundesrats unterstützt eine Initiative für einen gesetzlichen Preisdeckel auf Benzin und Diesel. Vorbild ist Luxemburg , wo der Staat seit Jahren Höchstpreise festlegt. Am 10. Juli entscheidet der Bundesrat über die Initiative, der Druck auf die Bundesregierung steigt. Die Regierung warnt Mineralölkonzerne vor übermäßigen Preissteigerungen und schließt weitere Eingriffe nicht aus. Spritpreise unter Druc...