Eine neue Mitteilung der Huntress Cybersecurity-Firma hat sich auf die Alarme gewendet: Angreifer nutzen drei neu gemeldete Fehler in Microsoft Defender, um Privilegien in engagierten Teams zu skalieren. Die Schwachstellen, bekannt durch den alias BlueHammer, RedSun und UnDefense, wurden als Null-Tage von einem Forscher veröffentlicht, der als Chaotic Eclipse (auch als Nightmare-Eclipse bezeichnet) bezeichnet wird, in Protest, wie Microsoft in seiner Ansicht den Outreach-Prozess verwaltet.
Von den drei Versagen, BlueHammer und RedSun erlauben Privilegien vom System selbst zu erhöhen, die es in der Praxis erleichtert, einen Eindringling mit anfänglichem Zugang zu einer tieferen Kontrolle über das Gerät zu gewinnen. Stattdessen, UnDefense ist entworfen, um einen Service-denial Zustand zu verursachen, die die Definitionen-Updates blockieren kann, ein Vektor, der Endpunkte ohne aktuelle Verteidigung gegen Malware verlässt. Microsoft hat BlueHammer in dieser Woche Patch Dienstag Updates und Sicherheitszahlen als CVE-2026-33825 aber zum Zeitpunkt des Schreibens dieses Textes bleiben RedSun und UnDefend ohne formalen Patch.
Huntress veröffentlicht in Netzwerken und in seinen Analysen, dass er die aktive Ausbeutung der drei Schwachstellen beobachtet hat. Nach Angaben des Unternehmens wurde BlueHammer bereits seit dem 10. April 2026 in Angriffen eingesetzt, und am 16. April gab es öffentliche Konzepte, die den Einsatz von RedSun und UnDefense zeigen. Die Betreiber, die Forscher erklären, nicht nur automatisierte Exploits: Sie führten typische Hand-on-Keyboard-Aufgaben, d.h. manuelle und gerichtete Aktivitäten nach dem ersten Zugriff durch. Unter den gefundenen Befehlen sind Privilegien und Anmeldeinformationen Konsultationen wie Whoami / priv, cmdkey / Liste und Netzgruppe, klare Zeichen, dass der Angreifer erforscht und bereitet den Boden für spätere Bewegungen.
Was diese Episode mehr beunruhigend macht, ist die Kombination von mehreren Faktoren: öffentliche Offenlegung durch den Forscher, die Existenz von Exploits und Konzepttests in Umlauf, und Bestätigung der realen Nutzung durch bösartige Akteure. Dies hat Huntress dazu gezwungen, in der betroffenen Organisation Eindämmungsmaßnahmen zu ergreifen, um zu verhindern, dass die Angreifer ihren Zugang vertiefen oder sich seitlich innerhalb des Netzes bewegen.
Während Microsoft bereits BlueHammer in seinem monatlichen Patch korrigiert hat, ist es wichtig, dass Sicherheitsteams das geschlossene Risiko nicht berücksichtigen, bis alle Fehler gemildert sind. Microsoft veröffentlicht seine Updates und Anleitungen durch das Security Response Center ( Microsoft Security Update Guide) und die entsprechenden Bulletins sollten dort überprüft werden. Die NIST-Verwundbarkeitsdatenbank beim Eintrag steht zur öffentlichen Referenz der mit BlueHammer verbundenen Kennung zur Verfügung. CVE-2026-33825.
In solchen Situationen, über die Anwendung von Patches, wenn verfügbar, umfassen praktische Empfehlungen die Stärkung der Endpunkte-Überwachung und ungewöhnliche Aktivitätserkennungsmechanismen, die Anwendung des Prinzips des geringeren Privilegs in Konten und Dienstleistungen, und die Überprüfung von Sicherheitsprotokollen, um Befehle und Indikatormuster von Exploration oder Exfiltration zu identifizieren. Microsofts Dokumentation zum Schutz und Management von Microsoft Defender bietet zusätzliche Anleitungen zu Konfiguration und guten Praktiken ( offizielle Dokumentation von Defender)
Die jüngsten Ereignisse zeigen einen problematischen Trend: die Spannung zwischen Forschern, die die Zero-Day-Explosion veröffentlichen und das temporäre Fenster, das von Organisationen zur Parkung und Minderung überlassen wird. Medienabdeckung und Antwortteams kontaktieren häufig Lieferanten; in diesem Fall The Hacker News Er berichtete über die Situation und sagte, er hatte Kommentare von Microsoft gesucht. Bis zur Aktualisierung dieser Anmerkung wird erwartet, dass die offizielle Antwort den Zustand der Minderung für RedSun und UnDefend verdeutlicht.
Für Manager und Sicherheitsbeamte ist der Schlüssel nun, schnell und vorsichtig zu handeln: die verfügbaren Korrekturen zu installieren, Telemetrie zu verschärfen, um verdächtige Befehle zu erkennen und, wenn sie Kompromisse erkennen, betroffene Systeme zu segmentieren und zu isolieren, um Auswirkungen zu begrenzen. Die Ereignisse wie diese erinnern sich daran, dass die Sicherheitslösungen so stark sind wie die Geschwindigkeit, mit der die Patches angewendet werden, und die Qualität der menschlichen Überwachung, die sie begleitet.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...