Attackierte MS-Defender-Lücken und BitLocker-Schutzmaßnahmen | heise online

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor aktuellen Angriffen auf mehrere Microsoft-Lücken und eine Schwachstelle in Adobe Acrobat und Reader. Die älteste der attackierten Schwachstellen hat bereits 18 Jahre auf dem Buckel. Microsoft liefert Updates für den unter Beschuss stehenden Microsoft Defender und nennt manuelle Gegenmaßnahmen für den BitLocker zum Schutz vor der YellowKey-Attacke.

Insgesamt listet die CISA sieben attackierte Sicherheitslücken auf. Darunter ein Pufferüberlauf in Windows Server Service aus Windows 2000 bis Server 2008 (CVE-2008-4250, CVSS 9.8, Risiko „kritisch“), eine Schwachstelle in DirectX 7 bis 9 (CVE-2009-1537, CVSS 8.8, Risiko „hoch“) und zwei gut abgehangene Sicherheitslücken im Internet Explorer (CVE-2010-0249 und CVE-2010-0806, CVSS 8.8, Risiko „hoch“). Zarte 17 Lenze zählt zudem ein aktuell angegriffener Heap-basierter Pufferüberlauf in Adobe Reader und Acrobat 7.x, 8.x und 9.x – die zudem bereits damals schon einmal angegriffen wurde (CVE-2009-3459, CVSS 8.8, Risiko „hoch“). Wer derart alte und bekannt anfällige Software noch einsetzt, sollte dringend eine Isolierung der Systeme oder idealerweise eine Aktualisierung auf zeitgemäßen Stand anvisieren.

Zurück in die Gegenwart

Aber auch in aktueller Software finden sich derzeit angegriffene Sicherheitslücken: Microsoft hat in der Anti-Malware-Software Defender einerseits eine Rechteausweitungslücke ausgebessert, die auf inkorrekter Link-Auflösung vor Dateizugriffen basiert und nach erfolgreichem Missbrauch Zugriffe mit SYSTEM-Rechten ermöglicht (CVE-2026-41091, CVSS 7.8, Risiko „hoch“). Außerdem ermöglicht eine Sicherheitslücke, den Antimalware-Dienst lahmzulegen (Denial of Service, DoS) (CVE-2026-45498, CVSS 4.0, Risiko „mittel“). Mit automatischen Signaturupdates sollen die Korrekturen für die sicherheitsrelevanten Fehler im Defender bereits auf den Endgeräten angekommen sein, erklärt Microsoft in den Schwachstelleneinträgen.

Eine weitere Sicherheitslücke im Defender ermöglicht Angreifern aus dem Netz das Einschleusen von Schadcode. Auch hier soll das Update bereits automatisch erfolgt sein (CVE-2026-45584, CVSS 8.1, Risiko „hoch“). Angriffe hierauf wurden demnach aber noch nicht beobachtet. Die Microsoft Malware Protection Engine ab Version 1.1.26040.8 und Microsoft Defender Antimalware Platform ab Version 4.18.26040.7 enthalten die Korrekturen für alle drei Lücken.

„YellowKey“-Gegenmaßnahmen

Microsoft reagiert außerdem auf die Schwachstelle in BitLocker, die den Codenamen „YellowKey“ erhalten hat. BitLocker-Laufwerke lassen sich dadurch von Unbefugten recht einfach entsperren. Das Risiko stuft Microsoft nicht sonderlich hoch ein (CVE-2026-45585, CVSS 6.8, Risiko „mittel“). In dem Schwachstelleneintrag beschwert sich Microsoft zunächst darüber, dass die Veröffentlichung des Proof-of-Concept-Exploits gegen die abgestimmten Best Practices für den Umgang mit Sicherheitslücken verstoße.

Dann nennen die Entwickler Gegenmaßnahmen, die Schutz vor dem Angriff liefern sollen. Das beschriebene Verfahren ändert die Windows-Wiederherstellungsumgebung, sodass darin der BootExecute-Eintrag „autofstx.exe“ aus der WinRE-Registrierung entfernt wird. Außerdem soll das Hinzufügen einer PIN zum Entsperren vor dem Angriff schützen.

(dmk)