EUVD-2026-22643 / CVE-2026-33825
Sicherheitslücke in Microsoft Defender wird aktiv ausgenutzt

Anbieter zum Thema

Eine aktiv ausgenutzte Sicherheitslücke in Microsoft Defender ermöglicht eine lokale Privilegieneskalation bis zu SYSTEM-Rechten. Betroffene Builds sollten schnell überprüft und upgedatet werden. Und auch in Entra ID klafft eine Sicherheitslücke, diese mit dem maximalen Risiko-Score.

Die Sicherheitslücke EUVD-2026-22643 / CVE-2026-33825 im Microsoft Defender hat einen hohen Schweregrad und wird bereits aktiv ausgenutzt.(Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert) Die Sicherheitslücke EUVD-2026-22643 / CVE-2026-33825 im Microsoft Defender hat einen hohen Schweregrad und wird bereits aktiv ausgenutzt.

(Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)

Zwar war am 14. April 2026 erst der Microsoft Patchday und am 12. Mai ist schon der nächste, doch eine Sicherheitslücke benötigt dringend erhöhte Aufmerksamkeit. EUVD-2026-22643 / CVE-2026-33825 (CVSS-Score 7.8, EPSS-Score* 3.30) wurde am 22. April 2026 von der CISA in ihren KEV-Katalog aufgenommen und gilt damit als aktiv ausgenutzt. Die Schwachstelle betrifft Microsoft Defender und beschreibt eine „unzureichende Granularität der Zugriffs­steu­er­ung“. Dies bedeutet, dass die Lösung Berechtigungen nicht ausreichend prüft. Das ermöglicht es einem autorisierten Angreifer, seine Privilegien lokal bis zu SYSTEM erweitern, Schutz­me­cha­nis­men zu deaktivieren und möglicherweise den Rechner vollständig zu über­neh­men.

Der Microsoft Patchday April 2026 schließt 165 Sicherheitslücken, darunter die kritische Schwachstelle CVE-2026-33824 im IKE-Dienst, die unauthentifizierten Angreifern wurmartige Remote Code Execution über präparierte UDP-Pakete auf Port 500 und 4500 ermöglicht. (Bild: Dall-E / Vogel IT-Medien / KI-generiert) Die wichtigsten Informationen zu EUVD-2026-22643 / CVE-2026-33825

Alle Microsoft-Defender-Antimalware-Platform-Versionen vor 4.18.26030.3011 sind betroffen. Versionen ab 4.18.26030.3011 ist das Problem behoben. In seinem Sicherheitshinweis be­ant­wor­tet Microsoft einige wichtige Fragen im Zusammenhang mit der Schwachstelle. Denn viele Vulnerability-Scanner melden den Befund auch dann, wenn Defender in der Umgebung de­ak­ti­viert ist. Diese Scanner prüfen in erster Linie, ob Defender-Binärdateien mit einer ver­wund­ba­ren Versionsnummer auf dem System vorhanden sind. Da die Dateien auch bei deaktiviertem Defender auf der Festplatte liegen, erhalten die Nutzer eine Warnmeldung zu EUVD-2026­22643 / CVE-2026-33825. Laut Microsoft sind Systeme mit deaktiviertem Defender jedoch nicht aus­nutz­bar. Der Befund, die Systeme seien verwundbar, beruht hier also auf einer Versionsprüfung, nicht auf tatsächlicher Angreifbarkeit.

Außerdem erklärt Microsoft, dass normalerweise keine manuelle Aktion nötig ist, weil Plattform- und Signaturupdates automatisch verteilt werden. Dennoch sollte regelmäßig geprüft werden, ob die automatische Verteilung funktioniert und ob in diesm Fall mindestens Version 4.18.26030.3011 installiert ist. Das lässt sich in Windows-Sicherheit unter „Virus– & Bedrohungsschutz“ > „Schutzupdates“ > „Nach Updates suchen“ und unter „Einstellungen“ > „Info“ (AMProductVersion) oder per PowerShell (Get-MpComputerStatus) verifizieren.

Die Flut an neuen Sicherheitslücken ist für das NIST und seine CVE-Datenbank nicht mehr zu stemmen, weswegen Abstriche gemacht werden müssen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert) SSRF-Schwachstelle in Entra ID Entitlement Management

Eine weitere Sicherheitslücke bedarf dringender Handlung noch vor dem nächsten Patchday: EUVD-2026-25312 / CVE-2026-35431. Sie hat den höchstmöglichen CVSS-Score von 10.0 sowie einen EPSS-Score von 0.07. Dabei handelt es sich um eine Server-side request forgery, kurz SSRF-Schwachstelle. Bei dieser Art von Software-Fehler bringen Angreifer einen Server dazu, selbst HTTP/HTTPS‑Anfragen an vom Angreifer bestimmte Ziele zu senden. Dies kann dazu führen, dass ein nicht autorisierter Angreifer Netzwerk‑Spoofing betreibt, indem Anfragen so erscheinen, als kämen sie vom Microsoft Entra ID Entitlement Management‑Dienst. So könnten die Akteure interne Ressourcen, sensible Daten abgreifen oder privilegierte Aktionen freigeben.

Microsoft hat die Sicherheitslücke bereits serverseitig behoben. Die Änderungen werden in dem Cloud-Dienst automatisch ausgerollt, Nutzer müssen also nicht aktiv werden.

Gastkonten in Entra ID bieten keine optimale Partnerintegration. Microsoft Entra External ID und RealIdentity ermöglichen eine sichere und effiziente Alternative. (Bild: Dall-E / KI-generiert)

* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der ent­sprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.

(ID:50829358)