Defender unter Beschuss: Zwei Zero-Days im SOC-Blindspot
7 Min. Lesezeit
Microsoft Defender, das auf Millionen Windows-Systemen als Schutzschicht läuft, hat zwei aktiv ausgenutzte Schwachstellen. Eine davon erlaubt lokale Rechteausweitung. Die CISA hat beide in ihren Katalog ausgenutzter Lücken aufgenommen und Bundesbehörden eine Frist bis zum 3. Juni gesetzt. Für DACH-SOCs ist der Fall weniger ein Alarm als eine Erinnerung: Auch das Werkzeug, das schützt, ist Angriffsfläche.
Das Wichtigste in Kürze
- Zwei Defender-Lücken werden ausgenutzt. CVE-2026-41091 erlaubt lokale Privilegienausweitung, CVE-2026-45498 einen Denial of Service.
- CISA-Frist 3. Juni. Die US-Behörde führt beide im KEV-Katalog, ein starkes Signal auch für DACH-Betreiber.
- Updates laufen meist automatisch. Defender zieht die Korrektur über die Definitions-Updates. Verlassen sollte sich darauf niemand ungeprüft.
Verwandt:Time-to-Exploit sinkt auf 24 bis 48 Stunden / Cyber-Haftung in der Verwaltung
Was genau ausgenutzt wird
Was ist eine Privilege-Escalation-Lücke? Eine Schwachstelle zur Rechteausweitung erlaubt einem Angreifer, der bereits eingeschränkten Zugriff auf ein System hat, sich höhere Rechte zu verschaffen, im Extremfall bis zur vollen Kontrolle. Sie ist selten der erste Schritt eines Angriffs, aber fast immer der entscheidende.
Die schwerwiegendere der beiden Lücken trägt die Kennung CVE-2026-41091 und einen CVSS-Wert von 7,8. Es handelt sich um einen Link-Following-Fehler: Defender folgt unter bestimmten Bedingungen einer manipulierten Verknüpfung und greift auf eine Datei zu, auf die der Angreifer eigentlich keinen privilegierten Zugriff haben dürfte. Das Ergebnis ist eine lokale Rechteausweitung. Wer bereits einen Fuß im System hat, etwa über Phishing oder eine andere Lücke, kann ihn zur vollen Kontrolle ausbauen.
Die zweite Lücke, CVE-2026-45498, ist mit einem CVSS-Wert von 4,0 deutlich harmloser. Sie ermöglicht einen Denial of Service, also das gezielte Lahmlegen des Dienstes. Unangenehm, aber kein Einfallstor zur Übernahme. Beide Schwachstellen überschneiden sich laut Microsoft mit bereits im April offengelegten Zero-Days, die unter den Namen RedSun und UnDefend liefen.
Der Zusatz aktiv ausgenutzt ist dabei der eigentliche Unterschied. Eine theoretische Lücke ist ein Risiko auf dem Papier. Eine ausgenutzte Lücke bedeutet, dass irgendwo da draußen bereits Code existiert, der sie auslöst. Die CISA nimmt eine Schwachstelle nicht in ihren Katalog auf, weil sie gefährlich sein könnte, sondern weil sie nachweislich missbraucht wird. Genau diese Unterscheidung sollte die Priorisierung im eigenen Haus steuern. Eine 7,8er-Lücke ohne Exploit kann warten, dieselbe Lücke mit aktivem Missbrauch nicht.
Warum die automatische Korrektur kein Freibrief ist
Microsoft betont, dass beide Lücken über die Definitions-Updates des Defender verteilt werden. Für die meisten Systeme ist kein manueller Eingriff nötig. Das ist die gute Nachricht. Sie stimmt auch. Es ist aber zugleich die Stelle, an der Sorglosigkeit beginnt.
Automatische Updates greifen nur, wenn der Mechanismus funktioniert. In der Praxis gibt es genug Systeme, bei denen er das nicht tut: abgeschottete Produktionsnetze ohne Internetzugang, Maschinen mit eingefrorenen Versionsständen, Geräte, deren Update-Dienst aus Performance-Gründen gedrosselt wurde. Genau diese Systeme sind oft die kritischen. Wer sich auf das stille Update verlässt, ohne zu prüfen, verwechselt Wahrscheinlichkeit mit Gewissheit.
Die relevanten Versionsstände sind dokumentiert. Die Korrektur für die Rechteausweitung trägt die Plattform-Version 1.1.26040.8, die für den Denial of Service die Engine-Version 4.18.26040.7. Ein kurzer Abgleich im Bestand zeigt, ob die Flotte tatsächlich versorgt ist oder ob einzelne Systeme zurückhängen.
Trügerische Sicherheit
- Defender aktualisiert sich schon selbst
- Eine 7,8er-Lücke ist nicht kritisch
- Lokale Lücken brauchen ohnehin Zugriff
Belastbares Vorgehen
- Versionsstand im Bestand aktiv prüfen
- Offline-Systeme separat nachziehen
- Rechteausweitung als Teil der Angriffskette ernst nehmen
Der blinde Fleck heißt Vertrauen
Der eigentliche Lerneffekt liegt nicht in den beiden CVE-Nummern. Er liegt in der Annahme, die viele Organisationen unausgesprochen treffen: Das Schutzprodukt selbst sei sicher. Endpoint-Schutz läuft mit hohen Rechten, tief im System, mit Zugriff auf nahezu alles. Genau das macht ihn zum lohnenden Ziel. Eine Lücke im Wächter wiegt schwerer als eine Lücke in einer beliebigen Anwendung.
Das ist kein Argument gegen Defender oder gegen Endpoint-Schutz allgemein. Es ist ein Argument für eine nüchterne Inventur. Sicherheitssoftware gehört in denselben Patch- und Monitoring-Rhythmus wie jede andere kritische Komponente. Sie verdient kein blindes Vertrauen, nur weil ihr Zweck Vertrauen ist. Wer sie aus dem Schwachstellenmanagement ausklammert, baut sich einen toten Winkel an der empfindlichsten Stelle.
Die CISA-Frist bis zum 3. Juni gilt formal nur für US-Bundesbehörden. Als Signal taugt sie überall. Wenn eine Behörde mit Pflicht zur Reaktion eine Lücke priorisiert, ist das für jeden DACH-Betreiber ein brauchbarer Maßstab. Die Frage ist nicht, ob die eigene Organisation die Frist einhalten muss. Die Frage ist, ob sie es könnte.
Was SOCs jetzt konkret prüfen sollten
Der erste Schritt ist ein Bestandsabgleich, kein Patch-Reflex. Ein SOC sollte wissen, welche Defender-Plattform- und Engine-Versionen aktuell im Feld sind. Erst dieser Überblick zeigt, ob das automatische Update flächendeckend gegriffen hat oder ob einzelne Segmente zurückhängen. Wer diese Sichtbarkeit nicht hat, patcht im Blindflug und merkt eine Lücke erst, wenn sie genutzt wurde.
Der zweite Schritt betrifft die Telemetrie. Eine lokale Rechteausweitung hinterlässt Spuren: ungewöhnliche Zugriffe auf Defender-Komponenten, manipulierte Verknüpfungen, Prozesse, die mit überraschend hohen Rechten laufen. Diese Signale gehören in die Erkennungsregeln, nicht erst nach dem Vorfall, sondern jetzt. Ein EDR, das seine eigene Integrität nicht überwacht, ist an der empfindlichsten Stelle blind.
Der dritte Schritt ist organisatorisch. Sicherheitssoftware braucht einen benannten Verantwortlichen für ihren Patch-Stand, genauso wie ein Datenbankserver oder ein Webgateway. Solange niemand explizit dafür geradesteht, dass Defender selbst aktuell ist, verschwindet diese Aufgabe in der Annahme, das System erledige sie schon allein. Diese Annahme ist bequem. Sie ist auch der Grund, warum solche Lücken Wochen überleben.
Häufige Fragen
Muss ich als Defender-Nutzer manuell patchen?
In den meisten Fällen nicht. Microsoft verteilt die Korrekturen über die Definitions-Updates. Verlassen sollte man sich darauf aber nur nach einer Prüfung des tatsächlichen Versionsstands, besonders bei Systemen ohne durchgängige Internetverbindung.
Wie gefährlich ist CVE-2026-41091 wirklich?
Mit einem CVSS-Wert von 7,8 ist sie hoch, aber nicht kritisch eingestuft. Sie erlaubt keine Erstinfektion, sondern die Ausweitung bestehender Rechte. In einer mehrstufigen Angriffskette ist genau das oft der entscheidende Schritt zur Systemübernahme.
Welche Versionsstände schließen die Lücken?
Die Rechteausweitung ist mit der Plattform-Version 1.1.26040.8 behoben, der Denial of Service mit der Engine-Version 4.18.26040.7. Ein Abgleich dieser Stände im Bestand zeigt, ob ein System versorgt ist.
Was hat es mit RedSun und UnDefend auf sich?
Das sind im April offengelegte Zero-Days, mit denen sich die aktuellen Schwachstellen laut Microsoft überschneiden. Sie zeigen, dass Defender bereits zuvor im Visier stand. Die jetzige Aufnahme in den KEV-Katalog bestätigt die aktive Ausnutzung.
Sollten wir wegen solcher Lücken den Endpoint-Schutz wechseln?
Nein. Jede komplexe Sicherheitssoftware hat Schwachstellen. Entscheidend ist, sie in das reguläre Schwachstellenmanagement aufzunehmen und nicht als unfehlbar zu behandeln. Ein Wechsel verlagert das Problem, er löst es nicht.
Mehr aus dem MBF Media Netzwerk
Bildquelle: KI-generiert (Juni 2026), C2PA-Zertifikat im Bild hinterlegt
