{"id":992982,"date":"2026-05-04T05:18:21","date_gmt":"2026-05-04T05:18:21","guid":{"rendered":"https:\/\/www.europesays.com\/de\/992982\/"},"modified":"2026-05-04T05:18:21","modified_gmt":"2026-05-04T05:18:21","slug":"aktiv-ausgenutzte-microsoft-defender-lpe-entra-id-ssrf","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/992982\/","title":{"rendered":"Aktiv ausgenutzte Microsoft Defender LPE & Entra ID SSRF"},"content":{"rendered":"

\t\t\t\tEUVD-2026-22643 \/ CVE-2026-33825
\n \t\t\t\tSicherheitsl\u00fccke in Microsoft Defender wird aktiv ausgenutzt<\/p>\n

\n\t\tAnbieter zum Thema\t<\/p>\n

Eine aktiv ausgenutzte Sicherheitsl\u00fccke in Microsoft Defender erm\u00f6glicht eine lokale Privilegieneskalation bis zu SYSTEM-Rechten. Betroffene Builds sollten schnell \u00fcberpr\u00fcft und upgedatet werden. Und auch in Entra ID klafft eine Sicherheitsl\u00fccke, diese mit dem maximalen Risiko-Score.<\/p>\n

\"Die <\/a> Die Sicherheitsl\u00fccke EUVD-2026-22643 \/ CVE-2026-33825 im Microsoft Defender hat einen hohen Schweregrad und wird bereits aktiv ausgenutzt. <\/p>\n

(Bild: Gemini \/ Vogel IT-Medien GmbH \/ KI-generiert) <\/p>\n

Zwar war am 14. April 2026 erst der Microsoft Patchday<\/a> und am 12. Mai ist schon der n\u00e4chste, doch eine Sicherheitsl\u00fccke<\/a> ben\u00f6tigt dringend erh\u00f6hte Aufmerksamkeit. EUVD-2026-22643<\/a> \/ CVE<\/a>-2026-33825 (CVSS<\/a>-Score 7.8, EPSS-Score*<\/b> 3.30) wurde am 22. April 2026 von der CISA in ihren KEV-Katalog aufgenommen<\/a> und gilt damit als aktiv ausgenutzt. Die Schwachstelle betrifft Microsoft Defender und beschreibt eine \u201eunzureichende Granularit\u00e4t der Zugriffs\u00adsteu\u00ader\u00adung\u201c. Dies bedeutet, dass die L\u00f6sung Berechtigungen<\/a> nicht ausreichend pr\u00fcft. Das erm\u00f6glicht es einem autorisierten Angreifer, seine Privilegien lokal bis zu SYSTEM erweitern, Schutz\u00adme\u00adcha\u00adnis\u00admen zu deaktivieren und m\u00f6glicherweise den Rechner vollst\u00e4ndig zu \u00fcber\u00adneh\u00admen.<\/p>\n

\"Der <\/a> Die wichtigsten Informationen zu EUVD-2026-22643 \/ CVE-2026-33825<\/p>\n

Alle Microsoft-Defender-Antimalware-Platform-Versionen vor 4.18.26030.3011 sind betroffen. Versionen ab 4.18.26030.3011 ist das Problem behoben. In seinem Sicherheitshinweis<\/a> be\u00adant\u00adwor\u00adtet Microsoft einige wichtige Fragen im Zusammenhang mit der Schwachstelle. Denn viele Vulnerability-Scanner melden den Befund auch dann, wenn Defender in der Umgebung de\u00adak\u00adti\u00adviert ist. Diese Scanner pr\u00fcfen in erster Linie, ob Defender-Bin\u00e4rdateien mit einer ver\u00adwund\u00adba\u00adren Versionsnummer auf dem System vorhanden sind. Da die Dateien auch bei deaktiviertem Defender auf der Festplatte liegen, erhalten die Nutzer eine Warnmeldung zu EUVD-2026\u00ad22643 \/ CVE-2026-33825. Laut Microsoft sind Systeme mit deaktiviertem Defender jedoch nicht aus\u00adnutz\u00adbar. Der Befund, die Systeme seien verwundbar, beruht hier also auf einer Versionspr\u00fcfung, nicht auf tats\u00e4chlicher Angreifbarkeit. <\/p>\n

Au\u00dferdem erkl\u00e4rt Microsoft, dass normalerweise keine manuelle Aktion n\u00f6tig ist, weil Plattform- und Signaturupdates automatisch verteilt werden. Dennoch sollte regelm\u00e4\u00dfig gepr\u00fcft werden, ob die automatische Verteilung funktioniert und ob in diesm Fall mindestens Version 4.18.26030.3011 installiert ist. Das l\u00e4sst sich in Windows-Sicherheit unter \u201eVirus<\/a>– & Bedrohungsschutz\u201c > \u201eSchutzupdates\u201c > \u201eNach Updates suchen\u201c und unter \u201eEinstellungen\u201c > \u201eInfo\u201c (AMProductVersion) oder per PowerShell (Get-MpComputerStatus) verifizieren.<\/p>\n

\"Die <\/a> SSRF-Schwachstelle in Entra ID Entitlement Management<\/p>\n

Eine weitere Sicherheitsl\u00fccke bedarf dringender Handlung noch vor dem n\u00e4chsten Patchday<\/a>: EUVD-2026-25312<\/a> \/ CVE-2026-35431. Sie hat den h\u00f6chstm\u00f6glichen CVSS-Score von 10.0 sowie einen EPSS-Score von 0.07. Dabei handelt es sich um eine Server-side request forgery, kurz SSRF-Schwachstelle. Bei dieser Art von Software-Fehler bringen Angreifer einen Server dazu, selbst HTTP\/HTTPS\u2011Anfragen an vom Angreifer bestimmte Ziele zu senden. Dies kann dazu f\u00fchren, dass ein nicht autorisierter Angreifer Netzwerk\u2011Spoofing<\/a> betreibt, indem Anfragen so erscheinen, als k\u00e4men sie vom Microsoft Entra ID Entitlement Management\u2011Dienst. So k\u00f6nnten die Akteure interne Ressourcen, sensible Daten abgreifen oder privilegierte Aktionen freigeben.<\/p>\n

Microsoft hat die Sicherheitsl\u00fccke bereits serverseitig behoben. Die \u00c4nderungen werden in dem Cloud-Dienst automatisch ausgerollt, Nutzer m\u00fcssen also nicht aktiv werden. <\/p>\n

\"Gastkonten <\/a> <\/p>\n

* Hinweis zum EPSS-Score: Das Exploit<\/a> Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der n\u00e4chsten 30 Tage ausgenutzt wird. Der ent\u00adsprechende Score kann sich im Laufe der Zeit ver\u00e4ndern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Ver\u00f6ffentlichung des Artikels.<\/p>\n

(ID:50829358)<\/p>\n","protected":false},"excerpt":{"rendered":"EUVD-2026-22643 \/ CVE-2026-33825 Sicherheitsl\u00fccke in Microsoft Defender wird aktiv ausgenutzt Anbieter zum Thema Eine aktiv ausgenutzte Sicherheitsl\u00fccke in…\n","protected":false},"author":2,"featured_media":992983,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[29,30,190,189,194,191,193,192],"class_list":{"0":"post-992982","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-deutschland","9":"tag-germany","10":"tag-science","11":"tag-science-technology","12":"tag-technik","13":"tag-technology","14":"tag-wissenschaft","15":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/992982","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=992982"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/992982\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/992983"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=992982"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=992982"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=992982"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}