Cyber Security NewsTechnologie

Ausgenutzte Zero-Day-Schwachstelle in Windows Defender bei Angriffen

Eine aktive Ausnutzung kürzlich durchgesickerten Schwachstellen zur Rechteausweitung Windows Defender, bei der Bedrohungsakteure Proof-of-Concept-Exploit-Code, der direkt aus öffentlichen GitHub-Repositories

19. April 2026Guru BaranLive Redaktion
Leaked Windows Defender 0-Day Vulnerability Actively Exploited in Attacks

Kurzfassung

Warum das wichtig ist

Cyber Security NewsTechnologie
  • Eine aktive Ausnutzung kürzlich durchgesickerten Schwachstellen zur Rechteausweitung Windows Defender, bei der Bedrohungsakteure Proof-of-Concept-Exploit-Code, der direkt aus öffentlichen GitHub-Repositories
  • April 2026 veröffentlichte ein Sicherheitsforscher unter dem Alias Nightmare-Eclipse (auch bekannt als Chaotic Eclipse) den BlueHammer-Exploit auf GitHub, nachdem ein Streit mit dem Security Response Center (MSRC) über den Umgang mit dem Offenlegungsprozess der Schwachstelle gemeldet wurde.
  • Die Zero-Day-Schwachstelle, die nun als CVE-2026-33825 verfolgt wird, nutzt ein Zeit-der-Prüfung-zu-Zeit-der-Nutzung (TOCTOU)-Race-Condition- und Pfadverwirrungsfehler innerhalb des Signatur-Update-Workflows ermöglicht es einem Benutzer mit geringen Privilegien vor Ort, auf SYSTEM-Zugriff auf vollständig gepatchte Windows 10- und Windows 11-Systeme zu eskalieren.

Eine aktive Ausnutzung kürzlich durchgesickerten Schwachstellen zur Rechteausweitung in Windows Defender, bei der Bedrohungsakteure Proof-of-Concept-Exploit-Code, der direkt aus öffentlichen GitHub-Repositories Eine aktive Ausnutzung kürzlich durchgesickerten Schwachstellen zur Rechteausweitung in Windows Defender, bei der Bedrohungsakteure Proof-of-Concept-Exploit-Code, der direkt aus öffentlichen GitHub-Repositories stammt, gegen reale Unternehmensziele einsetzen.

Am 2. April 2026 veröffentlichte ein Sicherheitsforscher unter dem Alias Nightmare-Eclipse (auch bekannt als Chaotic Eclipse) den BlueHammer-Exploit auf GitHub, nachdem ein Streit mit dem Security Response Center (MSRC) über den Umgang mit dem Offenlegungsprozess der Schwachstelle gemeldet wurde.

Die Zero-Day-Schwachstelle, die nun als CVE-2026-33825 verfolgt wird, nutzt ein Zeit-der-Prüfung-zu-Zeit-der-Nutzung (TOCTOU)-Race-Condition- und Pfadverwirrungsfehler innerhalb des Signatur-Update-Workflows ermöglicht es einem Benutzer mit geringen Privilegien vor Ort, auf SYSTEM-Zugriff auf vollständig gepatchte Windows 10- und Windows 11-Systeme zu eskalieren.

Leaked Windows Defender 0-Day Vulnerability Actively Exploited in Attacks
Leaked Windows Defender 0-Day Vulnerability Actively Exploited in Attacks

Sicherheitslage und Risiko

Der Exploit missbraucht die Interaktion zwischen der Dateiremediationslogik, NTFS-Verknüpfungspunkten, der Windows Cloud Files API und opportunistischen Sperren (oplocks); kein Kernel-Exploit oder Speicherbeschädigung ist erforderlich.

Kurz nach der Veröffentlichung öffentlichte Nightmare-Eclipse zwei zusätzliche Tools: RedSun, das ebenfalls SYSTEM-Privilegien unter Windows 10, Windows 11 und Windows Server 2019 erzielt, und später sogar nach den Patches vom April Patch Tuesday; und UnDefend, das den Update-Mechanismus ört, um dessen Schutzfunktionen schrittweise zu beeinträchtigen.

Huntress bestätigt aktive Ausnutzung Huntress-Forscher beobachten nun aktiv, wie Bedrohungsakteure alle drei Techniken gegen Live-Ziele einsetzen.

Binärdateien wurden in Benutzerverzeichnissen mit geringen Berechtigungen platziert, spezifisch in den Ordnern „Pictures“ und in zweibuchstabigen Unterordnern innerhalb der „Downloads“-Verzeichnisse, wobei die gleichen Dateinamen wie aus den ursprünglichen PoC-Repositories verwendet wurden: FunnyApp.exe und RedSun.exe, und in einigen Fällen in z.exe umbenannt.

Quelllink

Originalquelle: Cyber Security News

Originalartikel oeffnen

Quellenprofil

Quelle und redaktionelle Angaben

Quelle
Cyber Security News
Originaltitel
Leaked Windows Defender 0-Day Vulnerability Actively Exploited in Attacks
Canonical
https://cybersecuritynews.com/windows-defender-0-day-vulnerability-exploited/
Quell-URL
https://cybersecuritynews.com/windows-defender-0-day-vulnerability-exploited/

Aehnliche Inhalte

Verwandte Themen und interne Verlinkung

Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Oktopus nutzt Spiegel, um Futter zu finden
StudieTechnologie

Oktopus nutzt Spiegel, um Futter zu finden

Zusammenfassung: Eine neue Studie liefert den ersten empirischen Beleg dafür, dass wirbellose Tiere Spiegel als abstraktes räumliches Werkzeug nutzen können, um ihre Umgebung zu interpretieren.

04.06.2026

Live Redaktion