Microsoft Defender: Zwei neue Schwachstellen von CISA als kritisch eingestuft

Die US-Cybersicherheitsbehörde CISA hat zwei aktive Sicherheitslücken in Microsoft Defender gemeldet – und fordert sofortiges Handeln.

Seit Mittwoch stehen CVE-2026-41091 und CVE-2026-45498 auf der offiziellen Liste bekannter ausgenutzter Schwachstellen (KEV). Die erste Lücke erlaubt Angreifern mit lokalem Zugriff eine Rechteausweitung auf Systemebene. Die zweite ermöglicht Denial-of-Service-Angriffe, die Defenders Schutzfunktionen lahmlegen. US-Behörden müssen bis zum 3. Juni Abhilfe schaffen oder die betroffenen Systeme vom Netz nehmen.

Angriffe auf Sicherheitslücken wie bei Microsoft Defender zeigen, warum Cyberkriminelle gezielt Unternehmen ins Visier nehmen. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheit stärken und Bedrohungen abwenden

Sechs Wochen im Ausnahmezustand

Die aktuellen Warnungen sind Teil einer beispiellosen Serie von Zero-Day-Exploits. Ein Forscher namens Chaotic Eclipse (auch Nightmare-Eclipse genannt) veröffentlicht seit Anfang April auf GitHub systematisch Schwachstellen in Defender und BitLocker – aus Frust über Microsofts Meldeverfahren.

Die Exploit-Welle begann mit BlueHammer (CVE-2026-33825), einer Race-Condition-Lücke im Signatur-Update-Mechanismus. Microsoft schloss diese im April. Doch die nachfolgenden Exploits RedSun und UnDefend blieben wochenlang ungepatcht. Bereits am 16. April nutzten Angreifer den öffentlichen Proof-of-Concept-Code für RedSun.

Weitere Veröffentlichungen wie YellowKey umgehen BitLocker – mit einem präparierten USB-Stick erhalten Angreifer vollen Shell-Zugriff. MiniPlasma attackiert den Windows Cloud Files Mini Filter Driver. Experten vermuten, dass es sich um einen fehlgeschlagenen Fix für eine Lücke aus dem Jahr 2020 handelt.

Wenn der Schutz selbst zur Gefahr wird

Besonders brisant: Die Angriffe zielen auf die Sicherheitssoftware selbst. Sicherheitsforscher von Huntress Labs bestätigten, dass die Exploits nicht theoretischer Natur sind, sondern in breitere Angriffswellen eingebettet wurden. Die Angriffe wurden mit Infrastruktur in Verbindung gebracht, die unter anderem in Russland geortet wurde.

Die schiere Menge der Schwachstellen zwingt Unternehmen zu manuellen Gegenmaßnahmen, da automatisierte Patches oft hinterherhinken. „Das predictive Window des Schwachstellenmanagements ist kollabiert", analysieren Branchenbeobachter. Aktive Ausnutzung folgt auf öffentliche Offenlegung oft innerhalb von Stunden.

Neben technischen Schwachstellen nutzen Hacker oft psychologische Tricks, um in Unternehmensnetzwerke einzudringen. Dieser kostenlose Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie man sie effektiv entlarvt. Anti-Phishing-Paket für Unternehmen kostenlos anfordern

Update-Chaos: Defender-Update legt Kontextmenü lahm

Am 19. Mai meldeten Nutzer in Microsofts Support-Foren, dass das Defender-Update Version 1.449.6920.0 die Rechtsklick-Funktion „Mit Microsoft Defender scannen" außer Gefecht setzte. Ein Schnelltest heruntergeladener Dateien blieb wirkungslos – ausgerechnet das Update zur Sicherung des Systems deaktivierte eine zentrale Benutzerfunktion.

Erfolg gegen Fox Tempest – doch die Bedrohung bleibt

Microsofts Digital Crimes Unit gelang zeitgleich ein Schlag gegen die Malware-Signing-Operation Fox Tempest. Die Gruppe hatte mehr als 1.000 gefälschte Code-Signing-Zertifikate ausgestellt, mit denen Ransomware-Banden wie Vanilla Tempest ihre Schadsoftware als legitime Installer tarnten. Microsoft stellte die Web-Infrastruktur der Gruppe still, widerrief die Zertifikate und schaltete hunderte virtuelle Maschinen ab.

Doch die anhaltenden Defender-Exploits zeigen: Angreifer verlagern ihren Fokus vom Umgehen der Erkennung durch Zertifikate hin zum direkten Ausschalten des Erkennungsmoduls.

KI als Brandbeschleuniger

Die Flut neu entdeckter Schwachstellen wird durch KI-gestützte Sicherheitstools befeuert. Initiativen wie Project Glasswing scannen mit KI-Modellen Legacy-Code nach jahrzehntealten Fehlern. Ein so entdeckter Fehler, CVE-2026-31431 (CopyFail), schlummerte seit 2017 unentdeckt im Code.

Die Kehrseite: Forscher wie Chaotic Eclipse nutzen ähnliche KI-Fähigkeiten, um Schwachstellen zu finden und zu bewaffnen. Das Tempo der Offenlegung hat sich dramatisch beschleunigt.

Ausblick

Der Patch-Day im Juni 2026 wird voraussichtlich umfangreiche Updates bringen. Microsoft muss die verbleibenden Nightmare-Eclipse-Lücken schließen, insbesondere jene auf Cisas KEV-Liste. Administratoren sollten BitLocker härten und Endpunkte auf „layered degradation"-Angriffe überwachen – bei denen Angreifer zuerst Defender mit DoS-Exploits ausschalten, bevor sie sekundäre Schadsoftware ausrollen.

de | wissenschaft | 69387149 |