Zum Inhalt springen

Ransomware-Gruppen nutzen BlueHammer-Lücke in Microsoft Defender aus

Auf den Punkt: Ransomware-Erpresser nutzen die unzureichende Zugriffskontrolle in Microsoft Defender (CVE-2026-33825) aus, um SYSTEM-Privilegien zu erlangen und Systeme vollständig zu kompromittieren.

Die US-Cybersicherheitsbehörde CISA hat bestätigt, dass Ransomware-Gruppen die Schwachstelle CVE-2026-33825 in Microsoft Defender aktiv ausnutzen, um Privilegien zu erweitern. Die als BlueHammer bekannte Lücke ermöglicht Angreifern Zugriff auf die SAM-Datenbank und damit SYSTEM-Rechte.

Die CISA aktualisierte am Montag ihren Katalog bekannter Schwachstellen (KEV) und dokumentierte die aktive Ausnutzung der BlueHammer-Lücke (CVE-2026-33825) durch Ransomware-Kampagnen. Die Sicherheitslücke wurde bereits am 22. April in den Katalog aufgenommen und löste eine Frist bis 7. Mai für Bundesbehörden aus.

Eine unzureichende Granularität der Zugriffskontrolle in Microsoft Defender ermöglicht es autorisierten Angreifern, ihre Privilegien lokal zu erweitern. Laut Will Dormann, Sicherheitsanalyst bei Tharros, gewährt die Ausnutzung lokalen Angreifern Zugriff auf die Security Account Manager-Datenbank (SAM), die Passworthashes lokaler Konten speichert. Mit diesem Zugriff können Angreifer SYSTEM-Rechte erlangen und erhebliche Kontrolle über das kompromittierte System ausüben.

Der Sicherheitsforscher mit dem Pseudonym Nightmare Eclipse veröffentlichte Anfang April einen Exploit-Code für BlueHammer als Protest gegen Microsofts Verfahren bei der Offenlegung von Schwachstellen. Microsoft patched die Lücke am 14. April im regulären Patchday. Kurz darauf stellten Forscher von Huntress Labs fest, dass Angreifer die Lücke bereits vor dem Patch als Zero-Day-Schwachstelle in aktiven Angriffen ausnutzten.

Nightmare Eclipse hat in den vergangenen Monaten mehrere weitere Windows-Zero-Days offengelegt, darunter RoguePlanet, RedSun, GreenPlasma, MiniPlasma, YellowKey und UnDefend. Einige dieser Schwachstellen wurden inzwischen im Juni-Patchday geschlossen. Die CISA verzeichnet insgesamt acht Schwachstellen in Microsoft Defender, die in aktiven Angriffen ausgenutzt wurden, zwei davon gezielt durch Ransomware-Banden.


Quelle: www.it-daily.net · Erschienen 1. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: