21. April 2026 | Artikel drucken |

Windows Defender: UnDefend nutzt Lücken für Ransomware

5 Min. Lesezeit

Windows Defender steht seit 16. April 2026 unter aktivem Angriff. Die beiden Privilege-Escalation-Lücken BlueHammer (CVE-2026-33825) und RedSun, die im April-Patch-Tuesday offengelegt wurden, werden mittlerweile in realen Incidents ausgenutzt. Angreifer koppeln die Exploits mit UnDefend und setzen damit Persistenz, Credential-Dumping, Lateral Movement und Ransomware-Deployment auf. Für Security-Teams in DACH-Unternehmen ist das die höchste Dringlichkeitsstufe seit Monaten.

Das Wichtigste in Kürze

  • Zwei Zero-Days in Windows Defender. BlueHammer (CVE-2026-33825, gepatcht am 14.04.) und der nachgeschobene RedSun-Exploit zielen beide auf Privilege Escalation über eine TOCTOU-Race-Condition in der Threat-Remediation-Engine.
  • Aktive Ausnutzung seit 16.04. Threat-Intelligence-Feeds dokumentieren Kampagnen, die BlueHammer plus RedSun plus UnDefend verketten. Ergebnis: Persistenz, Credential-Dumping, Ransomware-Deployment, Lateral Movement.
  • Patch-Tuesday April mit 167 Fixes. Das April-Rollup schließt 167 Schwachstellen inklusive zwei Zero-Days. Wer noch nicht gepatcht hat, läuft binnen Tagen in die Ausnutzung.

VerwandtBSI warnt zu F5 BIG-IP, Citrix und Trivy: operative Schritte  /  Ransomware-Playbook 72 Stunden

Was BlueHammer und RedSun technisch bedeuten

Was ist BlueHammer? BlueHammer ist der öffentliche Name für die Zero-Day-CVE-2026-33825 im Windows Defender. Technisch handelt es sich um eine TOCTOU-Race-Condition (Time-of-Check to Time-of-Use) in der Threat-Remediation-Engine. Ein lokaler Angreifer nutzt das Zeitfenster zwischen Prüfung und Verarbeitung einer als schädlich klassifizierten Datei, um seine eigenen Rechte auf SYSTEM-Ebene auszuweiten.

Der Exploit wurde am 7. April 2026 veröffentlicht, noch bevor Microsoft einen Patch ausgerollt hatte. Das April-Patch-Tuesday (14.04.) hat CVE-2026-33825 geschlossen. Zwei Tage später veröffentlichte derselbe Forscher einen zweiten Exploit, RedSun, der nach Aussage des Autors als Protest gegen Microsofts Disclosure-Prozess gemeint war. RedSun nutzt eine verwandte Schwachstelle, die im April-Patch nicht vollständig adressiert wurde. UnDefend schließlich ist ein ergänzendes Tool, das Defender-Monitoring selbst umgeht.

Warum die Angreifer das so schnell operationalisiert haben

Die Kombination BlueHammer plus RedSun plus UnDefend ist aus Angreifer-Sicht fast perfekt. Der lokale Privilege-Escalation-Pfad funktioniert auf einem Großteil der Windows-Endpoints, die in den letzten 14 Tagen noch nicht vollständig gepatcht wurden. Die Angreifer umgehen die EDR-Telemetrie, weil UnDefend die Erkennungskomponenten lahmlegt. Anschließend dumpen sie Credentials aus LSASS, bewegen sich lateral und deployen ihre Nutzlast, in der Regel Ransomware.

Threat-Intelligence-Feeds aus Europa und den USA melden seit 16. April konsistent Incidents in Finanzsektor, Gesundheitswesen und Fertigung. Das BSI hat bislang keine offizielle Warnung mit eigenem Advisory herausgegeben, die Koordination läuft über CERT-Bund-Kanäle zu den betroffenen Sektoren. Die kommenden 48 bis 72 Stunden entscheiden, wie breit die Welle rollt. Ransomware-Gruppen mit Russland-Bezug sollen nach Aussage mehrerer Threat-Intelligence-Firmen die Kombination bereits in ihre Attack-Kits integriert haben, was die Verbreitung beschleunigt.

Der Fall zeigt, wie eng Disclosure-Zyklus und aktive Ausnutzung 2026 liegen. Zwischen öffentlicher Proof-of-Concept-Veröffentlichung und erster aktiver Kampagne liegen in diesem Fall etwa neun Tage. Vor drei Jahren waren es noch drei bis sechs Wochen. Die Reduktion der Fensterzeit stellt klassische Patch-Management-Prozesse vor grundsätzliche Fragen. Out-of-band-Patches und automatisierte Deployment-Pipelines sind keine Luxus-Features mehr, sondern operative Notwendigkeit.

167 CVEs
Gesamtumfang des Microsoft April-2026 Patch-Tuesday-Rollouts. Zwei davon sind Zero-Days, mehrere weitere haben Privilege-Escalation-Potenzial. Priorisierte Patch-Runden sind Pflicht.
Quelle: Microsoft Security Response Center, April 2026 Patch Tuesday Summary.

Was Security-Teams in den nächsten 72 Stunden machen sollten

Sofort-Prioritäten

  • Patch-Stand aller Windows-Endpoints verifizieren
  • April-Patch-Tuesday erzwingen, auch bei lagging Clients
  • EDR-Telemetrie auf Defender-Service-Stop prüfen
  • Incident-Response-Playbook aus dem Archiv ziehen

Mittelfristig absichern

  • Host-Hardening gegen LSASS-Dumping (Credential Guard)
  • Alerts auf UnDefend-Indicators in SIEM scharfschalten
  • Lateral-Movement-Kontrollen (Segmentierung) prüfen
  • Zweit-EDR neben Defender evaluieren für Defense-in-Depth

Die wichtigste Sofort-Maßnahme ist die Patch-Rate. April-Patch-Tuesday ist bei vielen Unternehmen noch im Rollout, weil die Deployment-Wellen 7 bis 14 Tage brauchen. In der aktuellen Bedrohungslage ist dieser Zyklus zu lang. CISOs sollten gemeinsam mit dem Client-Management-Team eine Sonder-Welle aufsetzen, die den April-Rollup auf alle Endpoints forciert. Wer noch im März-Patch-Stand hängt, hat ein akutes Problem.

Parallel zur Patch-Welle lohnt sich ein Hunting-Run über die Endpoint-Telemetrie. Defender-Service-Stops, unerwartete LSASS-Zugriffe und abnormale SYSTEM-Prozesse sind die Signale, an denen Angreifer aktuell erkennbar werden. Sentinel-Kunden haben dafür vorgefertigte Analytics-Rules, CrowdStrike hat IOA-Detections im April-Update freigeschaltet. Für Teams ohne dezidierten Threat-Hunter reicht ein zwei-stündiger Sweep über die letzten sieben Tage, um auffällige Muster zu isolieren.

Zum Schluss ein Punkt, der organisatorisch wichtig ist. BlueHammer und RedSun haben gezeigt, dass Exploit-Veröffentlichungen vor Patches 2026 häufiger vorkommen werden. Die klassische Patch-Tuesday-Kadenz ist nicht mehr sicher. Security-Teams sollten mit Client-Management und Vorstand eine Sonder-Regel definieren, die out-of-band Patch-Rollouts bei aktiv ausgenutzten Zero-Days erlaubt. Wer diese Entscheidung nicht vorab dokumentiert hat, verliert Tage in der Abstimmung, die man nicht hat.

Häufige Fragen

Wie erkenne ich Angriffe mit BlueHammer oder RedSun?

Die Indicators of Compromise umfassen ungewöhnliche Defender-Service-Stops, unerwartete SYSTEM-Level-Prozesse mit Eltern in Benutzer-Sessions und gehäufte LSASS-Zugriffe kurz nach Login-Events. Threat-Intelligence-Provider wie CrowdStrike, Microsoft Defender for Endpoint und Sentinel haben die Muster in aktuellen Rules. Ein Custom-Hunt im SIEM auf diese Signaturen ist jetzt lohnenswert.

Was tun, wenn der April-Patch im Unternehmen noch nicht ausgerollt ist?

Sofort die Deployment-Welle beschleunigen. Standard-Rollout-Zeiten passen nicht zur aktuellen Lage. Falls Patch aus Kompatibilitätsgründen verzögert ist, sind temporäre Workarounds in den Microsoft-Advisories beschrieben. Zusätzlich Netzwerk-Segmentierung und Zero-Trust-Access an kritischen Stellen verstärken.

Betrifft der Angriff auch Server oder nur Client-Windows?

Primär Clients, weil der Angriffspfad eine Benutzer-Session voraussetzt. Windows-Server mit Interactive-Login oder Terminal-Services sind aber ebenso im Scope. Defender-for-Servers und die entsprechenden Azure-Pendants haben die Patches, die Priorisierung in Server-Rollouts ist aber oft schlechter als bei Clients.

Mehr aus dem MBF Media Netzwerk

cloudmagazin

Kubernetes 1.36: User Namespaces stabil, Ingress-NGINX retired

mybusinessfuture

Bitkom-KI-Studie 2026: 41 Prozent nutzen KI

digital-chiefs

Gartner-Prognose 2026: IT-Spending auf 6.150 Milliarden

Quelle Titelbild: Pexels / Tima Miroshnichenko (px:5380664)

Artikel drucken
Alec Chizhik

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish
Ein Magazin der Evernine Media GmbH