Künstliche Intelligenz
Ungepatchte Windows-Zero-Days RedSun, UnDefend und BlueHammer werden attackiert
IT-Sicherheitsforscher melden Angriffe im Internet auf die teils ungepatchten Sicherheitslücken BlueHammer, RedSun und UnDefend. Die betreffen den Windows Defender und ermöglichen etwa die Ausweitung der Rechte zu Admin oder gar System.
Weiterlesen nach der Anzeige
Trotz aktuellem Patch-Stand zum Meldungszeitpunk funktioniert etwa der RedSun-Exploit noch immer.
(Bild: heise medien / Christopher Kunz)
Erste Angriffe auf die BlueHammer-Lücke erfolgten offenbar bereits ab Freitag, den 10. April, wie aus einer knappen Analyse durch die HuntressLabs auf X hervorgeht. Die Lücke wurde kurz vor dem davorliegenden Wochenende bekannt und setzt beim Windows-Defender-Update-Prozess an. Immerhin, am Patchday vergangene Woche hat Microsoft die Schwachstelle mit dem Eintrag CVE-2026-33825 gefixt, außerdem hat der Defender Erkennungen für die bekannten Exploits erhalten.
Anders sieht es etwa mit RedSun und UnDefend aus. Die Analysten von HuntressLabs melden auf X, dass alle drei Lücken angegriffen werden. Allerdings stehen für RedSun und UnDefend noch keine Hotfixes bereit, sie lassen sich zum Meldungszeitpunkt weiter missbrauchen.
Rechteausweitung und Update-Blockade
Alle drei Zero-Days hat der Nutzer mit dem Handle „Nightmare-Eclipse“ auf GitHub veröffentlicht. Hinter RedSun verbirgt sich ein Angriff, der eine Datei mit der „Cloud Files API“ schreibt, im Anschluss eine Race Condition mit den Windows-Schattenkopien gewinnt und dadurch ausführbare Dateien im Systemverzeichnis von Windows platzieren kann. Damit lassen sich dann SYSTEM-Rechte erlangen.
Etwas weniger Beachtung fand die „UnDefend“-Zero-Day-Lücke. Dadurch können Angreifer mit gewöhnlichen Rechten im System den Windows Defender lahmlegen. Im passiven Modus hindert der Exploit den Defender daran, neue Aktualisierungen zu erkennen und zu installieren. Damit kann der Defender nicht vor neuen Bedrohungen schützen. Im aggressiven Modus versucht UnDefend, den Windows Defender ganz zu deaktivieren. Das klappt aber nur, wenn Microsoft ein größeres Plattform-Update verteilt, das etwa die zentrale Komponente MsMpEng.exe und andere Binärdateien ersetzt. Zugleich hat „Nightmare-Eclipse“ eine Methode gefunden, durch die die EDR-Konsole (Endpoint Detection and Response) dann trotzdem ausgibt, dass Windows Defender läuft und aktuell ist – das findet er jedoch zu gefährlich, sodass der Code (noch) nicht öffentlich ist.
Unklar ist, wie weitreichend die beobachteten Angriffe sind. Derzeit bleibt nur zu hoffen, dass Microsoft die Schwachstellen in Kürze ebenfalls ausbessert.
Weiterlesen nach der Anzeige
(dmk)