AIO APEX
Security

Windows-Zero-Days werden jetzt in echten Angriffen ausgenutzt

BleepingComputer
Teilen:
Windows-Zero-Days werden jetzt in echten Angriffen ausgenutzt

Drei kürzlich offengelegte Windows-Sicherheitslücken sind laut neuen Erkenntnissen von Huntress bereits von Proof-of-Concept-Code zu realen Angriffen übergegangen. Das ist deshalb relevant, weil für zwei der Probleme noch kein vollständiger Microsoft-Patch vorliegt, während das dritte erst mit den April-Updates behoben wurde.

Welche Techniken Angreifer nutzen

Im Mittelpunkt stehen drei Exploit-Techniken, die von einem Forscher veröffentlicht wurden, der Microsofts Umgang mit dem Offenlegungsprozess öffentlich kritisierte. Zwei davon zielen auf Microsoft Defender, um lokale Rechteausweitung zu erreichen. Die dritte kann von einem normalen Benutzerkonto aus Defender-Signaturupdates blockieren.

Huntress erklärt, alle drei Techniken inzwischen in echten Angriffen beobachtet zu haben. Bei einem dokumentierten Einbruch tauchten die Exploits zusammen mit manueller Angreiferaktivität auf, nachdem ein SSL-VPN-Konto kompromittiert worden war.

Warum das eine wichtige Sicherheitsmeldung ist

Der entscheidende Punkt ist nicht nur, dass der Code öffentlich ist, sondern dass Angreifer ihn bereits operativ einsetzen. Eine der Lücken, geführt als CVE-2026-33825 und unter dem Namen BlueHammer bekannt, wurde gepatcht. Die beiden anderen, oft RedSun und UnDefend genannt, sind weiterhin nicht vollständig behoben.

Damit entsteht für Verteidiger eine unangenehme Lücke. Selbst Organisationen, die Patch Tuesday schnell umsetzen, können weiter gefährdet sein, wenn Angreifer diese Techniken nach einem ersten Zugriff kombinieren, besonders auf Systemen, auf denen Microsoft Defender standardmäßig aktiv ist.

Was Admins jetzt tun sollten

Sicherheitsteams sollten das als aktives Risiko für Rechteausweitung behandeln und nicht als theoretisches Laborproblem. Priorität haben die Prüfung jüngster Endpoint-Warnungen, strengere Kontrollen an Remote-Zugängen wie VPN-Konten und die Überwachung von Defender-Manipulationen oder unerwarteten SYSTEM-Eskalationen.

Bis Microsoft Patches für die verbleibenden Probleme bereitstellt, sind Transparenz und schnelle Eindämmung wichtiger als sonst. Für Windows-Admins ist das einer dieser Momente, in denen gehärtete Identitäten und sauberes Endpoint-Monitoring den Unterschied zwischen einem begrenzten Vorfall und einer deutlich tieferen Kompromittierung ausmachen können.

cybersecuritywindowszero-daymicrosoft-defenderprivilege-escalation

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Teilen: