heise PlusAbo
Anzeige
Alert!

Ungepatchte Windows-Zero-Days RedSun, UnDefend und BlueHammer werden attackiert

Die Zero-Day-LĂĽcken im Windows Defender mit den Namen BlueHammer, RedSun und UnDefend werden offenbar attackiert.

vorlesen Druckansicht 36 Kommentare lesen
Stark verzerrtes Bild eines Fingers auf einer Tastatur, im Vordergrund ein digitales Ausrufezeichen

(Bild: janews/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

IT-Sicherheitsforscher melden Angriffe im Internet auf die teils ungepatchten Sicherheitslücken BlueHammer, RedSun und UnDefend. Die betreffen den Windows Defender und ermöglichen etwa die Ausweitung der Rechte zu Admin oder gar System.

Trotz aktuellem Patch-Stand zum Meldungszeitpunk funktioniert etwa der RedSun-Exploit noch immer.

(Bild: heise medien / Christopher Kunz)

Erste Angriffe auf die BlueHammer-LĂĽcke erfolgten offenbar bereits ab Freitag, den 10. April, wie aus einer knappen Analyse durch die HuntressLabs auf X hervorgeht. Die LĂĽcke wurde kurz vor dem davorliegenden Wochenende bekannt und setzt beim Windows-Defender-Update-Prozess an. Immerhin, am Patchday vergangene Woche hat Microsoft die Schwachstelle mit dem Eintrag CVE-2026-33825 gefixt, auĂźerdem hat der Defender Erkennungen fĂĽr die bekannten Exploits erhalten.

Anders sieht es etwa mit RedSun und UnDefend aus. Die Analysten von HuntressLabs melden auf X, dass alle drei LĂĽcken angegriffen werden. Allerdings stehen fĂĽr RedSun und UnDefend noch keine Hotfixes bereit, sie lassen sich zum Meldungszeitpunkt weiter missbrauchen.

Rechteausweitung und Update-Blockade

Alle drei Zero-Days hat der Nutzer mit dem Handle „Nightmare-Eclipse“ auf GitHub veröffentlicht. Hinter RedSun verbirgt sich ein Angriff, der eine Datei mit der „Cloud Files API“ schreibt, im Anschluss eine Race Condition mit den Windows-Schattenkopien gewinnt und dadurch ausführbare Dateien im Systemverzeichnis von Windows platzieren kann. Damit lassen sich dann SYSTEM-Rechte erlangen.

Etwas weniger Beachtung fand die „UnDefend“-Zero-Day-Lücke. Dadurch können Angreifer mit gewöhnlichen Rechten im System den Windows Defender lahmlegen. Im passiven Modus hindert der Exploit den Defender daran, neue Aktualisierungen zu erkennen und zu installieren. Damit kann der Defender nicht vor neuen Bedrohungen schützen. Im aggressiven Modus versucht UnDefend, den Windows Defender ganz zu deaktivieren. Das klappt aber nur, wenn Microsoft ein größeres Plattform-Update verteilt, das etwa die zentrale Komponente MsMpEng.exe und andere Binärdateien ersetzt. Zugleich hat „Nightmare-Eclipse“ eine Methode gefunden, durch die die EDR-Konsole (Endpoint Detection and Response) dann trotzdem ausgibt, dass Windows Defender läuft und aktuell ist – das findet er jedoch zu gefährlich, sodass der Code (noch) nicht öffentlich ist.

Videos by heise

Unklar ist, wie weitreichend die beobachteten Angriffe sind. Derzeit bleibt nur zu hoffen, dass Microsoft die Schwachstellen in KĂĽrze ebenfalls ausbessert.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten