Microsoft Defender: CISA zwingt Behörden zu Patches bis 3. Juni

Bis zum 3. Juni müssen zwei aktiv ausgenutzte Sicherheitslücken in Microsoft Defender gestopft werden. Der Grund: Ein Sicherheitsforscher hat öffentlichen Exploit-Code veröffentlicht – und die Schwachstellen werden bereits in Kombination genutzt, um Unternehmensnetzwerke zu kompromittieren.

Die beiden als CVE-2026-41091 (RedSun) und CVE-2026-45498 (UnDefend) bekannten Lücken wurden von Microsoft bereits am 21. Mai geschlossen. Doch ihre Aufnahme in den KEV-Katalog (Known Exploited Vulnerabilities) zeigt, wie akut die Gefahr ist. In einschlägigen Foren kursiert funktionsfähiger Code – ein Alarmsignal für jede IT-Abteilung.

Angesichts der rasanten Zunahme von Angriffen auf Unternehmensnetzwerke ist ein proaktiver Schutz wichtiger denn je. Das kostenlose E-Book liefert fundierte Informationen zu aktuellen Cyberbedrohungen und zeigt, wie Sie Ihre Firma effektiv absichern. Gratis-E-Book: IT-Sicherheit im Unternehmen stärken

Wie die Angriffskette funktioniert

Die technischen Details sind alarmierend: RedSun erlaubt eine lokale Rechteausweitung bis hin zu SYSTEM-Status. UnDefend hingegen hat einen niedrigeren Schweregrad – ist aber perfide: Es blockiert Sicherheitsupdates und täuscht dem infizierten System einen grünen Gesundheitsstatus vor.

Sicherheitsforscher von SudoFlare beschreiben eine typische Angriffskette: Phishing-Mails verschaffen Erstzugang, RedSun hebt die Berechtigungen, und UnDefend macht den installierten Virenschutz blind. Administratoren müssen zwingend auf Malware Protection Engine Version 1.1.26040.8 und Antimalware Platform Version 4.18.26040.7 aktualisieren.

Eskalation zwischen Microsoft und Forschern

Die aktuellen Patches fallen in eine Zeit eskalierender Spannungen. Ein Forscher unter dem Pseudonym Nightmare Eclipse hat binnen sechs Wochen Details zu sechs Windows-Schwachstellen veröffentlicht. Seine Vorwürfe wiegen schwer: Microsoft habe Meldungen ignoriert, Prämien nicht ausgezahlt und schließlich sein Konto gesperrt.

Da Phishing-Mails oft der erste Schritt komplexer Angriffsketten sind, müssen Unternehmen ihre Mitarbeiter gezielt sensibilisieren. Dieser kostenlose Leitfaden enthüllt die psychologischen Tricks der Hacker und zeigt, wie Sie Phishing-Angriffe in vier Schritten stoppen. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Microsoft warnte am 27. Mai, dass die Veröffentlichung von Exploit-Code vor vollständiger Patch-Auslieferung die gesamte Nutzerbasis gefährde – und stufte solche Aktionen als kriminell ein. Doch Nightmare Eclipse kündigt bereits die nächste Veröffentlichung für den 14. Juli an.

Besonders brisant: Während Microsoft RedSun und UnDefend Ende Mai schloss, bleiben andere von dem Forscher gemeldete Lücken offen. Dazu gehören YellowKey (BitLocker-Angriff über physischen Zugriff) und GreenPlasma (Rechteausweitung). Ein weiterer Exploit namens MiniPlasma soll sogar auf vollständig gepatchten Windows-11- und Windows-Server-2025-Systemen funktionieren.

Die Zeit zwischen Entdeckung und Exploit schrumpft dramatisch

Die Dringlichkeit der CISA-Frist spiegelt einen besorgniserregenden Trend wider. Laut Beobachtungen von Cogent Security ist die durchschnittliche Zeitspanne zwischen Entdeckung einer Schwachstelle und ihrer Ausnutzung von 125 Tagen (Anfang 2025) auf 0,5 Tage (April 2026) geschrumpft. Grund dafür ist der zunehmende Einsatz von KI durch Angreifer, die Exploit-Entwicklung automatisieren und beschleunigen.

Neben den Microsoft-Defender-Vorgaben setzte CISA zuletzt weitere harte Fristen: Bis zum 1. Juni musste eine Palo-Alto-Networks-PAN-OS-Lücke geschlossen werden. Zudem landete ein 16 Jahre alter Internet-Explorer-Bug auf der Hochrisiko-Liste – obwohl das Produkt längst eingestellt ist. Microsofts nächster großer Sicherheitsupdate-Zyklus ist für den 9. Juni 2026 geplant.

de | wissenschaft | 69463163 |