Denial-of-Service-Risiken

Akute Warnung vor Zero-Day-Angriffen auf Windows Defender

Bild: Ralf Liebhold / Shutterstock.com
LinkedInRedditWhatsApp

Microsoft und die US-Sicherheitsbehörde CISA warnen vor der aktiven Ausnutzung zweier Schwachstellen im Windows Defender. Schnelle Patches sind erforderlich.

Der Softwarekonzern Microsoft hat mit der Verteilung von Sicherheitsupdates für zwei kritische Schwachstellen im Windows Defender begonnen. Beide Sicherheitslücken wurden bereits vor der Bereitstellung der Patches aktiv von Angreifern für zielgerichtete Angriffe ausgenutzt, wodurch es sich um sogenannte Zero-Day-Schwachstellen handelt. Die Sicherheitsrisiken betreffen die Kernkomponenten des Microsoft-Antivirenprogramms und gefährden potenziell Millionen von Windows-Endgeräten und Servern in Unternehmens- und Behördennetzwerken weltweit. Die US-amerikanische Cybersicherheitsbehörde CISA hat die Schwachstellen aufgrund der unmittelbaren Bedrohungslage bereits in ihren offiziellen Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen und dringliche Abhilfemaßnahmen für Bundesbehörden angeordnet.

Anzeige

Rechteausweitung über die Malware Protection Engine

Die erste der beiden geschlossenen Schwachstellen wird unter der Kennung CVE-2026-41091 geführt. Hierbei handelt es sich um einen Fehler zur Rechteausweitung, der die Microsoft Malware Protection Engine betrifft. Betroffen sind die Versionen 1.1.26030.3008 und alle älteren Ausgaben dieser Engine. Diese Komponente stellt die grundlegenden Funktionen für das Scannen, Erkennen und Bereinigen von Schadsoftware innerhalb der Microsoft-Sicherheitsprodukte bereit.

Die technische Ursache der Schwachstelle liegt in einer fehlerhaften Verknüpfungsauflösung vor dem eigentlichen Dateizugriff, einem sogenannten Link-Following-Fehler. Angreifer, die bereits einen begrenzten Zugriff auf ein System erlangt haben, können diese Schwachstelle ausnutzen, um die Sicherheitsüberprüfungen der Engine zu umgehen. Durch das gezielte Setzen von symbolischen Links manipulieren sie den Zugriffsprozess der Engine so, dass die Software Operationen mit den höchsten Systemrechten ausführt. Erfolgreiche Angreifer erlangen dadurch vollständige SYSTEM-Privilegien auf dem betroffenen Windows-Gerät, was ihnen die uneingeschränkte Kontrolle über das Betriebssystem, die Installation von Schadsoftware oder das Auslesen sensibler Systemdaten ermöglicht.

Denial-of-Service-Risiken in der Antimalware-Plattform

Die zweite Sicherheitslücke wird als CVE-2026-45498 klassifiziert und betrifft die Microsoft Defender Antimalware-Plattform in den Versionen 4.18.26030.3011 und älter. Diese Plattform fasst verschiedene Sicherheitswerkzeuge zusammen, die nicht nur im standardmäßigen Windows Defender zum Einsatz kommen, sondern auch in Enterprise-Infrastrukturen über das System Center Endpoint Protection, das System Center 2012 R2 Endpoint Protection, das System Center 2012 Endpoint Protection sowie in älteren Umgebungen über Microsoft Security Essentials genutzt werden.

Anzeige

Laut den offiziellen Dokumentationen von Microsoft ermöglicht die erfolgreiche Ausnutzung dieser Schwachstelle das gezielte Herbeiführen eines Denial-of-Service-Zustands, also einer Dienstverweigerung. Bedrohungsakteure können manipulierte Datenpakete oder Dateien an die Antimalware-Plattform übermitteln, die beim Verarbeitungsprozess zu einem Absturz oder einer dauerhaften Blockade der Sicherheitskomponente führen. Auf ungepatchten Windows-Geräten wird dadurch der active Schutzmechanismus vollständig lahmgelegt, wodurch das System anfällig für weitere Angriffe wird und administrative Sicherheitsüberwachungen ausfallen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Automatische Aktualisierung und Schritte zur manuellen Verifizierung

Zur Behebung der beiden Sicherheitslücken hat Microsoft aktualisierte Versionen der betroffenen Komponenten bereitgestellt. Die Schwachstelle in der Malware Protection Engine wird ab der Version 1.1.26040.8 behoben, während die Antimalware-Plattform ab der Version 4.18.26040.7 gegen die Angriffe geschützt ist. Microsoft wies darauf hin, dass die Standardkonfiguration der Antivirensoftware so eingestellt ist, dass Malware-Definitionen und die Plattform-Updates automatisch im Hintergrund installiert werden, weshalb für die Mehrheit der Nutzer kein manuelles Eingreifen erforderlich sein sollte.

Unternehmen und IT-Administratoren sollten den Update-Status dennoch aktiv überprüfen, um sicherzustellen, dass die Patches erfolgreich angewendet wurden. Die Verifizierung kann über die folgenden administrativen Schritte direkt auf dem Windows-Endgerät durchgeführt werden:

  1. Das Programm Windows-Sicherheit über die Suchleiste des Betriebssystems öffnen.
  2. Im Navigationsbereich den Menüpunkt Viren- und Bedrohungsschutz auswählen.
  3. Im Bereich für den Viren- und Bedrohungsschutz auf die Option Schutzupdates klicken.
  4. Die Schaltfläche Nach Updates suchen auswählen.
  5. Im linken Navigationsbereich zu den Einstellungen wechseln und den Punkt Info auswählen.

Die Überprüfung der Versionsnummer des Antimalware-Clients zeigt an, ob die installierte Plattformversion die fehlerbereinigten Versionsnummern erreicht oder überschreitet.

Verbindliche Anweisungen der US-Cybersicherheitsbehörde CISA

Die Dringlichkeit der Patch-Verteilung wird durch das Eingreifen der U.S. Cybersecurity and Infrastructure Security Agency unterstrichen. Die Behörde hat beide Schwachstellen in ihren Known Exploited Vulnerabilities-Katalog aufgenommen. CISA warnt ausdrücklich davor, dass diese Fehler ein häufiger Angriffsvektor für böswillige Akteure sind und ein erhebliches Risiko für die Sicherheitsinfrastruktur von Organisationen darstellen.

Für alle zivilen Bundesbehörden in den Vereinigten Staaten wurde eine verbindliche operative Richtlinie mit der Bezeichnung Binding Operational Directive 22-01 erlassen. Diese verpflichtet die Behörden, alle betroffenen Windows-Endpunkte und Server innerhalb einer Frist von zwei Wochen, konkret bis zum 3. Juni 2026, vollständig abzusichern. Sollten für bestimmte Altsysteme keine entsprechenden Updates oder Schadensminderungen vom Hersteller verfügbar sein, schreibt die Richtlinie vor, den Einsatz der betroffenen Produkte in den Behördennetzwerken einzustellen.

Sicherheitsrisiko YellowKey im Verschlüsselungssystem BitLocker

Zusätzlich zu den Vorfällen rund um den Windows Defender veröffentlichte Microsoft am Dienstag Informationen zu einer weiteren Schwachstelle mit dem Namen YellowKey. Diese betrifft das Windows-Verschlüsselungssystem BitLocker und stellt ebenfalls eine Zero-Day-Schwachstelle dar. Der Fehler erlaubt es Angreifern unter bestimmten Bedingungen, die Schutzmechanismen von BitLocker zu umgehen und direkten Zugriff auf die verschlüsselten Laufwerke eines Geräts zu erlangen. Microsoft hat hierzu vorläufige Richtlinien zur Schadensminderung bereitgestellt, um das unbefugte Auslesen von geschützten Unternehmensdaten zu verhindern, während an einer vollständigen Software-Korrektur gearbeitet wird.


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
21. Mai 2026
Akute Warnung vor Zero-Day-Angriffen auf Windows Defender
Discord
21. Mai 2026
Discord führt Ende-zu-Ende-Verschlüsselung für Sprachkanäle ein
Snowflake
21. Mai 2026
SAP und Snowflake bringen Unternehmensdaten in KI-Anwendungen
Mozilla
21. Mai 2026
Mozilla veröffentlicht Firefox 151 mit erweitertem Datenschutz

Weitere Artikel

Discord führt Ende-zu-Ende-Verschlüsselung für Sprachkanäle ein
SAP und Snowflake bringen Unternehmensdaten in KI-Anwendungen
Mozilla veröffentlicht Firefox 151 mit erweitertem Datenschutz
Cohesity und HPE bauen Kooperation aus
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.