Drei neue Zero-Day-Schwachstellen in Microsoft Defender werden derzeit aktiv ausgenutzt und stellen ein erhebliches Risiko fuer Unternehmens- und Privatnutzer von Windows dar. Die Exploits mit den Namen BlueHammer, RedSun und UnDefend ermoeglichen Angreifern die Umgehung von Schutzmechanismen, die Ausweitung von Rechten und teilweise sogar das gezielte Ausschalten der Sicherheitsloesung.
Zero-Day-Schwachstellen in Microsoft Defender: Offenlegung und Angriffsziele
Enthuellte wurden die Luecken von einem Sicherheitsforscher unter dem Pseudonym Chaotic Eclipse (Nightmare‑Eclipse) als echte Zero-Days, also noch bevor Microsoft offizielle Patches bereitgestellt hat. Hintergrund ist ein Konflikt rund um den Umgang mit Vulnerability-Disclosure und der Zusammenarbeit zwischen Forschern und Herstellern – ein Thema, das die Branche seit Jahren beschaeftigt.
BlueHammer und RedSun sind Schwachstellen zur lokalen Privilegienerweiterung (Local Privilege Escalation, LPE). Gelingt es einem Angreifer, sich etwa über Phishing, unsichere Remote-Zugaenge oder Schwachstellen in Anwendungen einen normalen Benutzerzugang zu verschaffen, kann er diese Luecken nutzen, um Administrator- oder sogar Systemrechte zu erlangen. Damit wird praktisch die volle Kontrolle über das System moeglich – inklusive Installation von Backdoors, Deployment von Ransomware und Manipulation von Sicherheitsrichtlinien.
Die dritte Schwachstelle, UnDefend, zielt auf die Verfuegbarkeit von Microsoft Defender. Sie kann zu einem Denial of Service (DoS) der Schutzkomponenten fuehren und so Updates von Signaturen und Sicherheitsmodulen blockieren. Es entsteht eine gefaehrliche «blinde Zone», in der Malware trotz installierter Schutzsoftware unentdeckt bleiben kann.
BlueHammer (CVE-2026-33825): Erste Angriffe und bereits veroeffentlichter Patch
Nach Angaben des Sicherheitsunternehmens Huntress wird BlueHammer seit dem 10. April 2026 aktiv in realen Angriffen eingesetzt. Die Schwachstelle wurde mittlerweile unter der Kennung CVE‑2026‑33825 erfasst und im Rahmen von Microsofts Patch Tuesday dieser Woche behoben.
Damit ist das Risiko jedoch keineswegs gebannt. In vielen Unternehmen verzoegern sich Sicherheitsupdates durch Testphasen, Wartungsfenster oder veraltete Update-Policies. Solche Zeitfenster nutzen Angreifer gezielt aus: Schon ein einziger ungepatchter Host kann als Einstiegspunkt in ein ansonsten gut geschuetztes Netzwerk dienen.
Indikatoren fuer erfolgreiche Ausnutzung und Post-Exploitation
Huntress beobachtete auf kompromittierten Systemen typische Post-Exploitation-Aktivitaeten. Dabei kamen unter anderem folgende Kommandos zum Einsatz: whoami /priv, cmdkey /list und net group. Diese Befehle dienen dazu, aktuelle Rechte zu prüfen, gespeicherte Zugangsdaten aufzulisten und Gruppen- bzw. Rollenstrukturen im Netzwerk zu analysieren.
Solche Schritte gelten als klassisch fuer die Phase nach der initialen Kompromittierung. Angreifer verschaffen sich einen Ueberblick über Berechtigungen, suchen Möglichkeiten zur weiteren Privilegieneskalation und bereiten laterale Bewegungen im Netzwerk, Datendiebstahl oder die Vorbereitung eines Ransomware-Angriffs vor.
RedSun und UnDefend: Verfuegbare Exploits, aber noch keine Patches
Fuer RedSun und UnDefend existieren zum Zeitpunkt der Berichterstattung noch keine offiziellen Sicherheitsupdates von Microsoft. Laut Huntress wurden bereits am 16. April 2026 frei verfuegbare Proof‑of‑Concept‑Exploits in realen Angriffsketten beobachtet – ein Hinweis darauf, wie schnell Forschungscode zu einem praktischen Werkzeug in den Haenden von Cyberkriminellen werden kann.
RedSun ermoeglicht, aehnlich wie BlueHammer, eine lokale Privilegienerweiterung über Microsoft Defender. Besonders kritisch ist dies in Szenarien, in denen der erste Zugang bereits erzielt wurde – etwa über kompromittierte E-Mail-Konten oder Schwachstellen in Webanwendungen. UnDefend fokussiert sich dagegen auf das Ausschalten der Sicherheitskontrollen: Durch Stoerung von Diensten und Update-Prozessen koennen sich Angreifer laenger unbemerkt in der Infrastruktur halten.
Warum Schwachstellen in Sicherheitsloesungen ein hohes Schadenspotenzial haben
Sicherheitsprodukte wie Microsoft Defender sind nahezu auf jedem aktuellen Windows-System vorhanden und arbeiten mit weitreichenden Systemrechten. Exploits in solchen Komponenten sind daher besonders attraktiv, weil sie nicht nur Zugriff auf einzelne Endpunkte, sondern auch auf Monitoring‑, Policy‑ und Update-Mechanismen ermoeglichen.
Die Praxis der vergangenen Jahre zeigt, dass Angriffe auf Sicherheits- und Managementplattformen zu besonders weitreichenden Vorfaellen fuehren koennen. Wird eine vertrauenswürdige, zentral ausgerollte Komponente kompromittiert, laesst sich Malware über die gleiche Infrastruktur verbreiten, die eigentlich dem Schutz und der Verwaltung dient – oft unter Umgehung klassischer Kontrollen und mit hoher Reichweite im gesamten Netzwerk.
Massnahmen zum Schutz von Windows- und Defender-Umgebungen
Organisationen, die Microsoft Defender einsetzen, sollten kurzfristig mehrere Schritte umsetzen, um das Risiko durch BlueHammer, RedSun und UnDefend zu minimieren.
1. Priorisiertes Patch-Management. Aktualisieren Sie saemtliche betroffenen Windows-Systeme und stellen Sie sicher, dass der Patch fuer CVE‑2026‑33825 (BlueHammer) tatsaechlich installiert wurde. Nutzen Sie zentrale Update-Loesungen oder Vulnerability-Scanner zur Verifizierung.
2. Erweitertes Monitoring und Threat Hunting. Sicherheits-Teams sollten gezielt nach verdächtigen Mustern suchen, darunter:
- haeufige oder ungewoehnliche Nutzung von
whoami /priv,cmdkey /list,net groupund aehnlichen Reconnaissance-Kommandos; - unerwartete Neustarts oder Abstuerze von Microsoft-Defender-Diensten, insbesondere in Kombination mit Updatefehlern;
- plötzliche Aenderungen oder Deaktivierungen von Antiviren- und EDR-Richtlinien.
3. Strikte Umsetzung des Prinzips der geringsten Privilegien. Reduzieren Sie lokale Administratorrechte und beschneiden Sie Berechtigungen von Servicekonten. Je weniger Rechte ein initial kompromittiertes Konto besitzt, desto geringer ist der Mehrwert einer erfolgreichen LPE-Exploitation.
4. Zusätzliche Sicherheitsschichten etablieren. Ergänzen Sie Microsoft Defender um EDR‑Loesungen, SIEM‑Plattformen und verhaltensbasierte Analysen. Solche Systeme koennen Post‑Exploitation‑Aktivitaeten, laterale Bewegungen und Anomalien im Benutzerverhalten erkennen – auch dann, wenn der klassische Virenschutz temporaer ausfaellt.
5. Incident-Response-Prozesse ueben und verkuerzen. Definieren und testen Sie klare Ablaeufe zur schnellen Isolierung kompromittierter Systeme, etwa über Netzwerksegmentierung, Quarantaene-Funktionen von EDR-Loesungen und standardisierte Forensik-Workflows. Eine schnelle Reaktion ist entscheidend, um die Ausbreitung von Angreifern in der Infrastruktur zu stoppen.
Die aktuelle Ausnutzung von BlueHammer, RedSun und UnDefend verdeutlicht, wie schnell Zero-Day-Luecken in Sicherheitsprodukten operationalisiert werden. Unternehmen und Organisationen sollten Schwachstellen in Microsoft Defender als prioritaeres Risiko einstuften, Patches konsequent umsetzen, Monitoring und Threat Hunting ausbauen und ihre Reaktionsfaehigkeit gezielt verbessern. Wer seine Verteidigung jetzt proaktiv nachschaerft, reduziert nicht nur das unmittelbare Risiko, sondern erhoeht zugleich die Resilienz der gesamten Windows-Infrastruktur gegen künftige Angriffe.
