Bedrohungsakteure nutzen aktiv drei kürzlich bekannt gewordene Sicherheitslücken in **Windows** in Angriffen aus, die darauf abzielen, SYSTEM- oder erhöhte Administratorrechte zu erlangen. Seit Beginn des Monats hat ein Sicherheitsforscher, bekannt als "Chaotic Eclipse" oder "Nightmare-Eclipse", Proof-of-Concept-Exploit-Code für alle drei Sicherheitsprobleme veröffentlicht, um gegen die Art und Weise zu protestieren, wie **Microsofts** Security Response Center (**MSRC**) den Offenlegungsprozess gehandhabt hat. Zwei der Schwachstellen (genannt [BlueHammer](https://www.bleepingcomputer.com/news/security/disgruntled-researcher-leaks-bluehammer-windows-zero-day-exploit/) und [RedSun](https://www.bleepingcomputer.com/news/microsoft/new-microsoft-defender-redsun-zero-day-poc-grants-system-privileges/)) sind lokale Rechteausweitungsschwachstellen (LPE) in **Microsoft Defender**, während die dritte (bekannt als [UnDefend](https://github.com/Nightmare-Eclipse/UnDefend)) als Standardbenutzer ausgenutzt werden kann, um die Definition-Updates von **Microsoft Defender** zu blockieren. Zum Zeitpunkt der Veröffentlichung galten die von diesen Exploits angegriffenen Sicherheitslücken nach **Microsofts** Definition als Zero-Days, da es keine offiziellen Patches oder Updates gab, um sie zu beheben. Am Donnerstag berichteten Sicherheitsforscher von **Huntress Labs**, dass alle drei Zero-Day-Exploits in freier Wildbahn eingesetzt wurden, wobei die BlueHammer-Schwachstelle seit dem 10. April ausgenutzt wurde. Sie beobachteten auch Angriffe auf ein **Windows**-Gerät, das über eine kompromittierte SSLVPN-Benutzerin kompromittiert wurde, und zeigten Beweise für "hands-on-keyboard threat actor activity". "Das **Huntress SOC** beobachtet die Nutzung der BlueHammer-, RedSun- und UnDefend-Exploitationstechniken von Nightmare-Eclipse", sagten die Forscher. ## Zwei Zero-Days warten noch auf einen Patch Während **Microsoft** die BlueHammer-Schwachstelle nun als **CVE-2026-33825** verfolgt und sie in den Sicherheitsupdates vom April 2026 gepatcht hat, bleiben die anderen beiden Schwachstellen unbehandelt. Wie bereits berichtet, können Angreifer den RedSun-Exploit nutzen, um SYSTEM-Privilegien auf Windows 10, Windows 11 und Windows Server 2019 und späteren Systemen zu erlangen, wenn Windows Defender aktiviert ist, selbst nach Anwendung der Patch-Tuesday-Patches vom April. "Wenn Windows Defender erkennt, dass eine bösartige Datei ein Cloud-Tag hat, entscheidet das Antivirenprogramm, das schützen soll, aus irgendeinem dummen und urkomischen Grund, dass es eine gute Idee ist, die gefundene Datei einfach wieder an ihren ursprünglichen Speicherort zu schreiben", erklärte der Forscher. "Der PoC missbraucht dieses Verhalten, um Systemdateien zu überschreiben und administrative Rechte zu erlangen." "Microsoft hat die Verpflichtung gegenüber seinen Kunden, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte zu aktualisieren, um Kunden so schnell wie möglich zu schützen", sagte ein **Microsoft**-Sprecher gegenüber BleepingComputer Anfang dieser Woche, als er zu den vom anonymen Forscher gemeldeten Offenlegungsproblemen kontaktiert wurde. "Wir unterstützen auch die koordinierte Offenlegung von Schwachstellen, eine weit verbreitete Praxis in der Branche, die sicherstellt, dass Probleme sorgfältig untersucht und behoben werden, bevor sie öffentlich gemacht werden, und die sowohl den Kundenschutz als auch die Sicherheitsforschungsgemeinschaft unterstützt."