**CISA** hat US-Regierungsbehörden zwei Wochen Zeit gegeben, ihre **Windows**-Systeme gegen eine Schwachstelle zur Eskalation von Berechtigungen in **Microsoft Defender** zu sichern, die in Zero-Day-Angriffen ausgenutzt wurde. Diese als **CVE-2026-33825** verfolgte Sicherheitslücke mit hoher Schwere ermöglicht es lokalen Bedrohungsakteuren mit geringen Berechtigungen, SYSTEM-Berechtigungen auf ungepatchten Geräten zu erlangen, indem eine unzureichende Granularität der Zugriffskontrolle ausgenutzt wird. **Microsoft** hat die Schwachstelle am 14. April im Rahmen des Patch Tuesday dieses Monats behoben, eine Woche nachdem ein Sicherheitsforscher unter dem Pseudonym "Chaotic Eclipse" sie "BlueHammer" nannte und Proof-of-Concept-Exploit-Code veröffentlichte, um gegen die Art und Weise zu protestieren, wie das Security Response Center (MSRC) von **Microsoft** den Offenlegungsprozess handhabte. Chaotic Eclipse enthüllte auch eine zweite Schwachstelle zur Eskalation von Berechtigungen in **Microsoft Defender** (genannt RedSun) und eine dritte Schwachstelle (bekannt als UnDefend), die als Standardbenutzer ausgenutzt werden kann, um Defender-Definitionsupdates zu blockieren. Zum Zeitpunkt der Veröffentlichung galten alle drei Schwachstellen nach der Definition von **Microsoft** als Zero-Days, da es keine offiziellen Patches gab. Darüber hinaus, wie **Huntress Labs**-Sicherheitsforscher am 16. April enthüllten, hatten Angreifer diese Zero-Days auch in Angriffen ausgenutzt, die Anzeichen von "hands-on-keyboard threat actor activity" zeigten. "Die Aktivität schien auch Teil einer breiteren Intrusion zu sein und keine isolierten Proof-of-Concept (PoC)-Tests", sagte das Cybersicherheitsunternehmen in einem Bericht vom Montag. "**Huntress** identifizierte verdächtige **FortiGate** SSL VPN-Zugriffe, die mit der kompromittierten Umgebung in Verbindung standen, einschließlich einer Quell-IP, die nach Russland geolokalisiert wurde, mit zusätzlicher verdächtiger Infrastruktur in anderen Regionen." **CISA** hat die BlueHammer-Schwachstelle nun am Montag in ihren Known Exploited Vulnerabilities (KEV) Catalog aufgenommen und die Behörden des Federal Civilian Executive Branch (FCEB) angewiesen, ihre **Windows**-Systeme innerhalb von zwei Wochen, bis zum 7. Mai, gegen laufende CVE-2026-33825-Angriffe zu patchen. "Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und birgt erhebliche Risiken für die Bundesbehörden", warnte **CISA**. "Wenden Sie Abhilfemaßnahmen gemäß den Anweisungen des Herstellers an, befolgen Sie die geltenden BOD 22-01-Richtlinien für Cloud-Dienste oder stellen Sie die Nutzung des Produkts ein, wenn keine Abhilfemaßnahmen verfügbar sind." Vor einer Woche warnte **CISA** auch davor, dass eine Schwachstelle zur Eskalation von Berechtigungen in **Windows** Task Host (**CVE-2025-60710**), die Angreifern SYSTEM-Berechtigungen auf ungepatchten **Windows 11**- und **Windows Server 2025**-Geräten gewährt, ebenfalls aktiv in freier Wildbahn ausgenutzt wird.