Microsoft Defender Sicherheitslücke

Microsoft Defender: Ransomware-Banden nutzen BlueHammer-Lücke aus

Microsoft Windows Defender, Microsoft, Windows
Quelle: T. Schneider / Shutterstock.com

Ransomware-Erpresser nutzen die BlueHammer-Schwachstelle (CVE-2026-33825) in Microsoft Defender aus, um SYSTEM-Rechte zu erlangen.

Die US-Cybersicherheitsbehörde CISA hat bestätigt, dass Ransomware-Gruppen eine schwerwiegende Schwachstelle zur Rechteausweitung in Microsoft Defender aktiv ausnutzen. Die als BlueHammer bekannte Sicherheitslücke wird unter der Kennung CVE-2026-33825 geführt. Die CISA aktualisierte ihren KEV-Katalog (Known Exploited Vulnerabilities) am Montag und fügte den konkreten Hinweis auf die Nutzung in Ransomware-Kampagnen hinzu. Bereits am 22. April wurde die Lücke in den Katalog aufgenommen, woraufhin US-Behörden bis zum 7. Mai Zeit für die Behebung erhielten.

Anzeige

Risiken durch Zugriff auf SAM-Datenbank

Laut einer Sicherheitsmeldung von Microsoft ermöglicht eine unzureichende Granularität der Zugriffskontrolle in Microsoft Defender einem autorisierten Angreifer, lokale Privilegien auszuweiten. Will Dormann, Sicherheitsanalyst bei Tharros, erklärte, dass die Ausnutzung zwar nicht einfach sei, lokalen Angreifern jedoch Zugriff auf die Security Account Manager (SAM)-Datenbank gewähre. Diese enthält die Passworthashes lokaler Konten. Mit diesem Zugriff können Angreifer SYSTEM-Rechte erlangen.

„Ab diesem Zeitpunkt gehört das System im Grunde den Angreifern, und sie können Dinge tun wie eine Shell mit SYSTEM-Privilegien zu starten.“

Will Dormann, Sicherheitsanalyst bei Tharros

Anzeige

Herkunft der Sicherheitslücke im Microsoft Defender und Patch-Historie

Ein Sicherheitsforscher mit dem Pseudonym Nightmare Eclipse hat den Exploit-Code für BlueHammer Anfang April veröffentlicht. Dies geschah als Protest gegen das Verfahren des Microsoft Security Response Center bei der Offenlegung von Schwachstellen. Microsoft schloss die Sicherheitslücke am 14. April im Rahmen des April-Patchdays. Kurze Zeit später stellten Forscher von Huntress Labs fest, dass Angreifer die Lücke bereits vor dem Patch als Zero-Day-Schwachstelle im Rahmen von aktiven Angriffen ausnutzten.

Nightmare Eclipse hat in den vergangenen Monaten weitere Windows-Zero-Day-Schwachstellen offengelegt, die teilweise Microsoft Defender, BitLocker oder andere Windows-Komponenten betreffen.

Dazu gehören folgende Schwachstellen:

  • RoguePlanet
  • RedSun
  • GreenPlasma (im Juni-Patchday behoben)
  • MiniPlasma (im Juni-Patchday behoben)
  • YellowKey (im Juni-Patchday behoben)
  • UnDefend

In den vergangenen Jahren hat die CISA insgesamt acht Schwachstellen in Microsoft Defender registriert, die in Angriffen ausgnutzt wurden. Zwei davon wurden gezielt von Ransomware-Banden angegriffen.

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.