BlueHammer & RoguePlanet: Zwei kritische Windows-Defender-Lücken aktiv
Veröffentlicht: 04.07.2026 um 14:04 Uhr, Redaktion boerse-global.de
Hacker nutzen weiterhin eine altbekannte Schwachstelle in Microsofts Virenschutz aus – und eine neue Lücke ist bereits entdeckt.
Monate nach einem Sicherheitsupdate warnen Behörden und Forscher vor anhaltenden Angriffen auf Windows Defender. Die als BlueHammer bekannte Sicherheitslücke wird von Ransomware-Banden genutzt, um auf Windows-10- und -11-Systemen die volle Kontrolle zu übernehmen. Die US-Cybersicherheitsbehörde CISA schlägt nun erneut Alarm.
BlueHammer: Die tickende Zeitbombe
Die Schwachstelle mit der Kennung CVE-2026-33825 wurde erstmals von dem Sicherheitsforscher Nightmare Eclipse entdeckt. Mit einem CVSS-Score von 7,8 handelt es sich um eine sogenannte Race-Condition – ein Wettlauf im System, den Angreifer für sich entscheiden können. Das Ziel: vom normalen Nutzerkonto auf die höchste Berechtigungsstufe SYSTEM aufsteigen.
Microsoft hatte am 14. April 2026 ein Sicherheitsupdate veröffentlicht. Doch Berichte von Anfang Juli zeigen: Viele Systeme sind immer noch ungeschützt. CISA bestätigt, dass Kriminelle die Lücke aktiv für Ransomware-Angriffe nutzen. Der Exploit umgeht selbst aktive Echtzeitschutz-Funktionen und erlaubt Befehle mit Höchstberechtigung.
RoguePlanet: Die nächste Gefahr
Noch beunruhigender: Eine zweite, brandneue Schwachstelle in Microsoft Defender ist aufgetaucht. RoguePlanet (CVE-2026-50656) ermöglicht ebenfalls den Aufstieg zu SYSTEM-Rechten auf Windows 10 und 11.
Die BlueHammer-Lücke wird aktiv für Ransomware genutzt, und RoguePlanet hat noch keinen Patch. Ihr Unternehmen braucht jetzt eine klare Checkliste, um die Lücken zu schließen und Systeme zu schützen. Sofort-Checkliste jetzt anfordern
Die Lücke nutzt eine TOCTOU-Race-Condition (Time-of-Check to Time-of-Use) in Kombination mit Junction-Link-Hijacking. Ein Patch? Fehlanzeige. Nach Analysen vom 3. Juli 2026 funktionieren Proof-of-Concept-Exploits für RoguePlanet zuverlässig – egal, ob der Echtzeitschutz ein- oder ausgeschaltet ist. Auch diese Entdeckung stammt von Nightmare Eclipse und hat einen CVSS-Score von 7,8.
Die Lage spitzt sich zu
Die Angriffe auf Windows Defender sind nur die Spitze des Eisbergs. In den letzten Tagen wurden mehrere weitere Sicherheitsvorfälle gemeldet:
- SharePoint-Lücke: Eine Schwachstelle mit der Kennung CVE-2026-45659 und einem CVSS-Score von 8,8 wird aktiv ausgenutzt. CISA hat sie in den Katalog bekannter Exploits aufgenommen, nachdem mehrere Angreifer in denselben Netzwerken aktiv waren.
- FortiBleed-Kampagne: Rund 430.000 FortiGate-Firewalls wurden kompromittiert. Die Angriffe werden den Gruppen INC Ransom und Lynx zugeschrieben.
- Azure-CLI-Angriff: Microsoft-365-Mandanten wurden mit 81 Millionen Passwortversuchen über die Azure-Befehlszeile attackiert.
- Avalon-Malware: Ein neues modulares Framework namens Avalon mit der Ransomware CrownX wurde identifiziert. Es nutzt KI-gestützte Entwicklung, um Sicherheitslösungen zu umgehen, und wird über Phishing-Kampagnen mit ISO-Images verbreitet.
Warum die Lücken so gefährlich sind
RoguePlanet umgeht selbst den Echtzeitschutz – ohne Patch sind Ihre Windows-Systeme verwundbar. Dieser Report liefert einen Notfallplan für die Defender-Kompromittierung und eine Tool-Liste zur Erkennung von Race-Condition-Exploits. Notfallplan jetzt sichern
Der anhaltende Erfolg von BlueHammer zeigt ein grundlegendes Problem: Viele Unternehmen patchen zu langsam. Während Microsoft die Lücke vor drei Monaten schloss, sind unzählige Systeme immer noch verwundbar.
Die Sicherheitsbranche reagiert unterdessen mit immer schnelleren Schutzmechanismen. Einige automatisierte Plattformen übersetzen Bedrohungsinformationen inzwischen in nur 35 Sekunden in aktiven Schutz. Doch gegen eine Lücke wie RoguePlanet, für die es noch gar keinen Patch gibt, hilft auch das nicht.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
