Auf den Punkt: Ransomware-Banden exploitieren eine Schwachstelle in Microsoft Defender, um über unzureichende Zugriffskontrolle auf die SAM-Datenbank zuzugreifen und SYSTEM-Privilegien zu erlangen.
Die US-Cybersicherheitsbehörde CISA bestätigte, dass Ransomware-Gruppen die Schwachstelle CVE-2026-33825 in Microsoft Defender aktiv ausnutzen, um Systemrechte zu erlangen. Die Lücke wurde bereits im April gepatcht, wird aber nun in aktiven Kampagnen exploitiert.
Die unter dem Namen BlueHammer bekannte Schwachstelle CVE-2026-33825 ermöglicht lokalen Angreifern durch mangelhafte Zugriffskontrolle in Microsoft Defender die Ausweitung von Privilegien. Ein Sicherheitsanalyst von Tharros erläutert, dass Angreifer damit Zugriff auf die Security Account Manager (SAM)-Datenbank erhalten können, in der die Passworthashes lokaler Konten gespeichert sind. Mit diesen Hashes können Angreifer SYSTEM-Rechte erlangen und anschließend beliebige Befehle mit Systemrechten ausführen.
Die Sicherheitslücke wurde erstmals Anfang April 2024 von einem Sicherheitsforscher unter dem Pseudonym Nightmare Eclipse offengelegt — ein Schritt, den dieser als Protest gegen Microsofts Verfahren bei der Schwachstellenoffenlegung begründete. Microsoft patcht die Lücke am 14. April 2024. Sicherheitsforscher von Huntress Labs stellten jedoch bereits kurz nach dem Patch fest, dass Angreifer die Schwachstelle schon vor der Veröffentlichung des Fixes in Live-Angriffen ausnutzten. Die CISA nahm BlueHammer am 22. April in ihren KEV-Katalog auf und setzte eine Behebungsfrist von fünf Tagen bis zum 7. Mai für US-Bundesbehörden.
Nightmare Eclipse hat in den letzten Monaten mehrere Windows-Zero-Day-Schwachstellen veröffentlicht, darunter RoguePlanet, RedSun, GreenPlasma, MiniPlasma, YellowKey und UnDefend — viele davon betreffen Microsoft Defender, BitLocker oder andere Windows-Komponenten. Von den acht in Microsoft Defender registrierten Schwachstellen, die von der CISA in Angriffen dokumentiert wurden, wurden zwei gezielt von Ransomware-Banden angegriffen. Für CISOs bedeutet dies eine doppelte Handlungsnotwendigkeit: Zum einen sollten Updates für Microsoft Defender mit höchster Priorität eingespielt werden, zum einen muss die Kontrolle über lokale Administrator-Konten verschärft werden, da deren Kompromittierung über diese Lücke zum Systemkompromiss führt.
Quelle: www.it-daily.net · Erschienen 1. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.