In den letzten Wochen haben wir gesehen, wie neu entdeckte Schwachstellen unter Windows sich schnell von einem Labordaten zu aktiven Werkzeugen in Angreifern Arsenals bewegt haben. Drei Microsoft Defender-bezogene Fehler, die von einem Forscher veröffentlicht werden, der als "Chaotic Eclipse" oder "Nightmare-Eclipse" identifiziert, werden bereits genutzt, um Privilegien bis zu SYSTEM zu skalieren oder den Antivirenschutz selbst zu sabotieren, nach Untersuchungen und Beobachtungen durch zufällige Antwortteams.
Der Kontext ist wichtig: die Exploits, die ursprünglich gefiltert wurden, beinhaltete Konzept-Test-Code (PoC), dass der Autor im Protest des Prozesses der Kommunikation von Schwachstellen mit Microsoft veröffentlicht. Diese Veröffentlichung zeigte die Fehler, bevor es komplette Patches für alle von ihnen gab, und veranlasste böswillige Schauspieler, sie in ihre Kampagnen einzubinden. Microsoft unterscheidet diese Fehler als Null-Tage, soweit sie keine Korrektur hatten, wenn sie veröffentlicht wurden; die offizielle Definition kann in Microsofts Dokumentation auf Null-Tage-Schwachstellen in Defend in diesem Link gefunden werden: Microsoft - Zero-day Schwachstellen.
Die drei fraglichen Vektoren haben Namen, die bereits in der Gemeinde zirkulieren: BlueHammer, RedSun und UnDefender. BlueHammer wurde als CVE-2026-33825 verfolgt und Microsoft beinhaltete es in seinen April 2026 Updates, so dass Anwendung, dass Patch gezielt mildert diese Bedrohung. Die anderen beiden Techniken - RedSun und UnDefend - bleiben jedoch ohne offizielle Korrektur zum Zeitpunkt der Veröffentlichung der Antwort-Team-Beobachtungen und wurden in tatsächlichen Angriffen verwendet, wie von Huntress Labs berichtet: Nachricht von Huntress und Technische Überwachung.
Was tut jede Explosion und warum es Sorgen macht: UnDefense ermöglicht es einem Standard-Benutzer, Microsoft Defender Definitions-Updates zu blockieren. Dies ist nicht nur ein Ärger: das Schneiden von Motoren / Signatur-Updates macht es einfacher für Malware, unbemerkt und spätere Stufen eines Angriffs zu installieren, ohne erkannt zu werden. RedSun nutzt seinerseits ein bestimmtes Service-Verhalten, um Dateien zu überschreiben und Privilegien für SYSTEM zu erhöhen, wenn Defending aktiv ist; der Konzepttest erklärt, wie das Management bestimmter Dateien, die mit Cloud-Marke-Erkennungen verbunden sind, missbraucht wird, um ein Rewriting an sensiblen Dateien zu verursachen, wodurch eine hohe Systemsteuerung erreicht wird - das PoC-Repository ist in GitHub verfügbar: GitHub - RedSun. BlueHammer ist eine weitere Klettertechnik, die Microsoft im April-Newsletter geparkt, so dass sein unmittelbares Risiko sinkt, wenn die Systeme aktualisiert werden.
Die beobachteten Vorfälle sind nicht nur automatisierte Explorationen. Huntress dokumentierte Fälle, in denen die Angreifer auf Geräte mit kompromittierten SSLVPN-Anmeldeinformationen zugegriffen haben und diese Techniken nach dem Verzicht auf eine Maschine in einem "Hand-on-keyboard"-Muster, d.h. manuelle und gerichtete Aktivität eines menschlichen Bedieners, verwendet haben. Dies erhöht die Gefahr: Wenn ein Angreifer Kontext und Fernbedienung erreicht, dienen Techniken wie UnDefense dazu, die Beharrlichkeit zu erhalten und die Sichtbarkeit seiner Handlungen zu reduzieren, während Werkzeuge eingesetzt werden, die Privilegien benötigen.
Die Aussprache über einen koordinierten Ausbruch: Ein Teil des Problems war hier der Streit zwischen dem Forscher, der PoC und Microsoft über die Zeiten und die Verwaltung der Korrektur veröffentlicht. Microsoft hat sein Engagement für eine koordinierte Offenlegung bekräftigt, um Schwachstellen zu untersuchen und Kunden vor der Massenveröffentlichung zu schützen; das Unternehmen zieht es oft vor, mit Forschern zu arbeiten, um Vorfälle zu lösen, bevor der Code oder Details öffentlich verfügbar sind. Die frühe Veröffentlichung des Forschers beschleunigte die Exposition und erlaubte es, von schädlichen Akteuren verwendet werden, die komplexe Fragen über Verantwortung, Druck von Forschern und Prioritäten bei der Reparatur von kritischen Fehlern aufwirft.
Welche Organisationen und Nutzer können jetzt tun: Zuerst und dringend ist es, offizielle Microsoft-Updates zu überprüfen und anzuwenden: die Korrektur, dass BlueHammer-Adressen mit den April 2026-Updates kam, so dass die Installation von Patches reduziert die Belichtung mit dieser Technik. Da RedSun und UnDefense aber zumindest zum Zeitpunkt der Berichte noch ohne Patch waren, müssen Sicherheitsteams davon ausgehen, dass diese Vektoren ausgenutzt und entsprechend handeln können. Es wird empfohlen, die Telemetrie und die Überwachung in Endpunkten mit besonderer Aufmerksamkeit auf Signale des Umgangs mit dem Verteidigungsdienst, Überschreiben von Systemdateien oder Änderungen von Regeln und Signatur-Updates zu stärken. Es ist auch wichtig, den Fernzugriff (z.B. SSLVPN) zu überprüfen, um sicherzustellen, dass Multifaktor-Authentifizierung, starke Anmeldeinformationen und Mindestzugriffsrichtlinien verwendet werden; Huntress verknüpft mindestens einen Fall mit engagierten VPN-Anmeldeinformationen: Beobachtung der Huntress.
Darüber hinaus sollten technische Analysen und Details, die mit Vertrauen veröffentlicht werden, zur Kenntnis der verwendeten Verpflichtungsindikatoren und -techniken herangezogen werden. BleepingComputer hat diese Fehler und ihre PoC in ausführlichen Artikeln, die die Mechanik von RedSun und anderen Vektoren erklären, umfassend abgedeckt; seine technischen Notizen helfen, Erkennungen und Minderungen zu priorisieren: BlepingComputer - RedSun und BleepingComputer - BlueHammer.
Schlussreflexion: Diese Reihe von Offenlegungen und Ausbeutung zeigt die reale Spannung zwischen der Geschwindigkeit in der Korrektur und dem öffentlichen Druck der Forschungsgemeinschaft. Während die Organisationen auf Patches warten, greifen die Angreifer nicht an: sie integrieren Konzept und technische Beweise in ihre Operationen. Für Unternehmenssicherheitsteams und Haushaltsmanager ist die Lektion zweifach: Die Aufrechterhaltung aktueller Systeme reduziert das Risiko gegen gefesselte Sicherheitslücken und eine proaktive Netzwerkerkennungs- und Segmentierungsstrategie bleibt unerlässlich, um unkorrigierte Fehler zu mindern. Die Kombination von guten Praktiken im Zugangsmanagement, einer robusten Politik der Patches und einer kontinuierlichen Sichtbarkeit in Endpunkten ist heute die beste Verteidigung gegen diese sich entwickelnden Bedrohungen.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...