**Huntress** hat die aktive Ausnutzung von drei Sicherheitslücken in Microsoft Defender gemeldet, die potenziell zu erhöhten Berechtigungen auf kompromittierten Systemen führen können. Die Schwachstellen, bekannt als **BlueHammer**, **RedSun** und **UnDefend**, wurden ursprünglich als Zero-Days von einem Forscher, Chaotic Eclipse (auch bekannt als Nightmare-Eclipse), aufgrund von Bedenken hinsichtlich des Umgangs von Microsoft mit der Offenlegung von Schwachstellen veröffentlicht. ### Details zu den Schwachstellen * **BlueHammer**: Eine lokale Privilege Escalation (LPE)-Schwachstelle in Microsoft Defender. * **RedSun**: Eine weitere LPE-Schwachstelle, die Microsoft Defender betrifft. * **UnDefend**: Kann eine Denial-of-Service (DoS)-Bedingung auslösen und die Aktualisierung von Definitionen verhindern. ### Patch-Status und CVE-Informationen **Microsoft** hat BlueHammer im Rahmen seiner Patch-Tuesday-Updates behoben. Die Schwachstelle wird als **CVE-2026-33825** verfolgt. Zum Zeitpunkt der Erstellung dieses Artikels sind RedSun und UnDefend noch nicht gepatcht. ### Ausnutzung in freier Wildbahn Huntress beobachtete die aktive Ausnutzung aller drei Schwachstellen. BlueHammer wurde Berichten zufolge ab dem 10. April 2026 als Exploit eingesetzt, wobei Proof-of-Concept (PoC)-Exploits für RedSun und UnDefend am 16. April auftauchten. Laut Huntress gingen den Ausnutzungsversuchen Aufklärungsbefehle voraus, was auf eine manuelle Aktivität von Angreifern hindeutet. > "Diese Aufrufe folgten auf typische Enumerationsbefehle: whoami /priv, cmdkey /list, net group und andere, die auf eine manuelle Aktivität von Angreifern hindeuten", so Huntress. ### Abhilfemaßnahmen Huntress hat Schritte unternommen, um die betroffene Organisation zu isolieren und weitere Aktivitäten nach der Ausnutzung zu verhindern. ### Reaktion von Microsoft Microsoft bestätigte, dass der BlueHammer-Exploit über CVE-2026-33825 behoben wurde. > "Microsoft hat die Verpflichtung gegenüber seinen Kunden, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte so schnell wie möglich zu aktualisieren, um Kunden zu schützen", sagte ein Sprecher von Microsoft. "Wir unterstützen auch die koordinierte Offenlegung von Schwachstellen, eine weit verbreitete Industriepraxis, die sicherstellt, dass Probleme sorgfältig untersucht und behoben werden, bevor sie öffentlich bekannt gegeben werden, und die sowohl den Kundenschutz als auch die Sicherheitsforschungsgemeinschaft unterstützt."