{"id":113029,"date":"2026-04-20T08:18:05","date_gmt":"2026-04-20T08:18:05","guid":{"rendered":"https:\/\/www.europesays.com\/at\/113029\/"},"modified":"2026-04-20T08:18:05","modified_gmt":"2026-04-20T08:18:05","slug":"ungepatchte-windows-zero-days-redsun-undefend-und-bluehammer-werden-attackiert","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/at\/113029\/","title":{"rendered":"Ungepatchte Windows-Zero-Days RedSun, UnDefend und BlueHammer werden attackiert"},"content":{"rendered":"

IT-Sicherheitsforscher melden Angriffe im Internet auf die teils ungepatchten Sicherheitsl\u00fccken BlueHammer, RedSun und UnDefend. Die betreffen den Windows Defender und erm\u00f6glichen etwa die Ausweitung der Rechte zu Admin oder gar System. <\/p>\n

Weiterlesen nach der Anzeige<\/p>\n

<\/p>\n

\"Windows-Update-Fenster,<\/p>\n

<\/a><\/p>\n

Trotz aktuellem Patch-Stand zum Meldungszeitpunk funktioniert etwa der RedSun-Exploit noch immer.<\/p>\n

\n (Bild:\u00a0heise medien \/ Christopher Kunz)\n <\/p>\n

Erste Angriffe auf die BlueHammer-L\u00fccke erfolgten offenbar bereits ab Freitag, den 10. April, wie aus einer knappen Analyse durch die HuntressLabs auf X<\/a> hervorgeht. Die L\u00fccke wurde kurz vor<\/a> dem davorliegenden Wochenende bekannt und setzt beim Windows-Defender-Update-Prozess an. Immerhin, am Patchday vergangene Woche hat Microsoft die Schwachstelle mit dem Eintrag CVE-2026-33825<\/a> gefixt, au\u00dferdem hat der Defender Erkennungen f\u00fcr die bekannten Exploits erhalten.<\/p>\n

Anders sieht es etwa mit RedSun und UnDefend aus. Die Analysten von HuntressLabs melden auf X<\/a>, dass alle drei L\u00fccken angegriffen werden. Allerdings stehen f\u00fcr RedSun und UnDefend noch keine Hotfixes bereit, sie lassen sich zum Meldungszeitpunkt weiter missbrauchen.<\/p>\n

Rechteausweitung und Update-Blockade<\/p>\n

Alle drei Zero-Days hat der Nutzer mit dem Handle \u201eNightmare-Eclipse\u201c auf GitHub<\/a> ver\u00f6ffentlicht. Hinter RedSun verbirgt sich ein Angriff<\/a>, der eine Datei mit der \u201eCloud Files API\u201c schreibt, im Anschluss eine Race Condition mit den Windows-Schattenkopien gewinnt und dadurch ausf\u00fchrbare Dateien im Systemverzeichnis von Windows platzieren kann. Damit lassen sich dann SYSTEM-Rechte erlangen. <\/p>\n

Etwas weniger Beachtung fand die \u201eUnDefend\u201c-Zero-Day-L\u00fccke<\/a>. Dadurch k\u00f6nnen Angreifer mit gew\u00f6hnlichen Rechten im System den Windows Defender lahmlegen. Im passiven Modus hindert der Exploit den Defender daran, neue Aktualisierungen zu erkennen und zu installieren. Damit kann der Defender nicht vor neuen Bedrohungen sch\u00fctzen. Im aggressiven Modus versucht UnDefend, den Windows Defender ganz zu deaktivieren. Das klappt aber nur, wenn Microsoft ein gr\u00f6\u00dferes Plattform-Update verteilt, das etwa die zentrale Komponente MsMpEng.exe und andere Bin\u00e4rdateien ersetzt. Zugleich hat \u201eNightmare-Eclipse\u201c eine Methode gefunden, durch die die EDR-Konsole (Endpoint Detection and Response) dann trotzdem ausgibt, dass Windows Defender l\u00e4uft und aktuell ist \u2013 das findet er jedoch zu gef\u00e4hrlich, sodass der Code (noch) nicht \u00f6ffentlich ist.<\/p>\n

Unklar ist, wie weitreichend die beobachteten Angriffe sind. Derzeit bleibt nur zu hoffen, dass Microsoft die Schwachstellen in K\u00fcrze ebenfalls ausbessert.<\/p>\n

Weiterlesen nach der Anzeige<\/p>\n

(dmk<\/a>)<\/p>\n

\n Dieser Link ist leider nicht mehr g\u00fcltig.\n <\/p>\n

Links zu verschenkten Artikeln werden ung\u00fcltig,
\n wenn diese \u00e4lter als 7\u00a0Tage sind oder zu oft aufgerufen wurden.\n <\/p>\n

Sie ben\u00f6tigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen \u2013 ohne Verpflichtung!<\/p>\n","protected":false},"excerpt":{"rendered":"IT-Sicherheitsforscher melden Angriffe im Internet auf die teils ungepatchten Sicherheitsl\u00fccken BlueHammer, RedSun und UnDefend. Die betreffen den Windows…\n","protected":false},"author":2,"featured_media":113030,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[46,42,40248,18398,103,44,40249,97,96,2165,101,98,40250,3414,40251,100,99],"class_list":{"0":"post-113029","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-at","9":"tag-austria","10":"tag-bluehammer","11":"tag-exploit","12":"tag-it","13":"tag-oesterreich","14":"tag-redsun","15":"tag-science","16":"tag-science-technology","17":"tag-security","18":"tag-technik","19":"tag-technology","20":"tag-undefend","21":"tag-windows","22":"tag-windows-defender","23":"tag-wissenschaft","24":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@at\/116436055331944825","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts\/113029","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/comments?post=113029"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/posts\/113029\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/media\/113030"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/media?parent=113029"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/categories?post=113029"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/at\/wp-json\/wp\/v2\/tags?post=113029"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}