Ausgenutzte Zero-Day-Schwachstelle in Windows Defender bei Angriffen

Eine aktive Ausnutzung von drei kürzlich durchgesickerten Schwachstellen zur Rechteausweitung in Windows Defender, bei der Bedrohungsakteure Proof-of-Concept-Exploit-Code, der direkt aus öffentlichen GitHub-Repositories Eine aktive Ausnutzung von drei kürzlich durchgesickerten Schwachstellen zur Rechteausweitung in Windows Defender, bei der Bedrohungsakteure Proof-of-Concept-Exploit-Code, der direkt aus öffentlichen GitHub-Repositories stammt, gegen reale Unternehmensziele einsetzen.

Am 2.

April 2026 veröffentlichte ein Sicherheitsforscher unter dem Alias Nightmare-Eclipse (auch bekannt als Chaotic Eclipse) den BlueHammer-Exploit auf GitHub, nachdem ein Streit mit dem Security Response Center (MSRC) von Microsoft über den Umgang mit dem Offenlegungsprozess der Schwachstelle gemeldet wurde.

Die Zero-Day-Schwachstelle, die nun als CVE-2026-33825

Die Zero-Day-Schwachstelle, die nun als CVE-2026-33825 verfolgt wird, nutzt ein Zeit-der-Prüfung-zu-Zeit-der-Nutzung (TOCTOU)-Race-Condition- und Pfadverwirrungsfehler innerhalb des Signatur-Update-Workflows von Windows Defender aus und ermöglicht es einem Benutzer mit geringen Privilegien vor Ort, auf SYSTEM-Zugriff auf vollständig gepatchte Windows 10- und Windows 11-Systeme zu eskalieren.

Der Exploit missbraucht die Interaktion zwischen der Dateiremediationslogik von Microsoft Defender, NTFS-Verknüpfungspunkten, der Windows Cloud Files API und opportunistischen Sperren (oplocks); kein Kernel-Exploit oder Speicherbeschädigung ist erforderlich.

Kurz nach der Veröffentlichung von BlueHammer veröffentlichte Nightmare-Eclipse zwei zusätzliche Tools: RedSun, das ebenfalls SYSTEM-Privilegien unter Windows 10, Windows 11 und Windows Server 2019 erzielt, und später sogar nach den Patches vom April Patch Tuesday; und UnDefend, das den Update-Mechanismus von Defender stört, um dessen Schutzfunktionen schrittweise zu beeinträchtigen.

Huntress bestätigt aktive Ausnutzung Huntress-Forscher beobachten

Huntress bestätigt aktive Ausnutzung Huntress-Forscher beobachten nun aktiv, wie Bedrohungsakteure alle drei Techniken gegen Live-Ziele einsetzen.

Binärdateien wurden in Benutzerverzeichnissen mit geringen Berechtigungen platziert, spezifisch in den Ordnern „Pictures“ und in zweibuchstabigen Unterordnern innerhalb der „Downloads“-Verzeichnisse, wobei die gleichen Dateinamen wie aus den ursprünglichen PoC-Repositories verwendet wurden: FunnyApp.exe und RedSun.exe, und in einigen Fällen in z.exe umbenannt.