Drei Defender Zero-Days: Zwei ungepatcht, aktiv ausgenutzt

Drei Sicherheitslücken in Microsoft Defender, drei Proof-of-Concept Exploits auf GitHub, zwei davon ohne Patch. Ein Sicherheitsforscher unter dem Namen „Chaotic Eclipse" hat innerhalb von 13 Tagen im April 2026 drei Zero-Day-Exploits veröffentlicht. Aus Protest gegen Microsofts Umgang mit der Schwachstellenmeldung. Jetzt werden sie bereits in Angriffen genutzt.

Was genau passiert ist

Chaotic Eclipse, auch bekannt als Nightmare-Eclipse, deckte drei Schwachstellen in Microsoft Defender auf und veröffentlichte den Exploit-Code auf GitHub. Das Ziel war nicht Zerstörung, sondern Protest. Microsofts Security Response Center, so der Vorwurf, habe den Meldungsprozess falsch gehandhabt.

Die drei Schwachstellen haben Namen, die klingen wie aus einem Cyberpunk-Roman: BlueHammer, RedSun und UnDefend. Alle drei betreffen Microsoft Defender, der in jeder Windows-Installation enthalten ist.

BlueHammer: Lokale Rechteeskalation

BlueHammer ist eine lokale Rechteeskalation (LPE), die es einem angreifer ermöglicht, von einem normalen Benutzerkonto auf Systemebene zu kommen. Microsoft hat das als CVE-2026-33825 geführt und im April Patch Tuesday gepatcht. Einer von drei. Gut.

RedSun: Der gefährliche Bruder

RedSun funktioniert ähnlich wie BlueHammer, ist aber ungepatcht. Der Exploit nutzt ein absurdes Verhalten von Windows Defender: Wenn Defender eine Datei mit einem Cloud-Tag als bösartig erkennt, schreibt er die Datei an ihren ursprünglichen Ort zurück. Der Angreifer kann damit Systemdateien überschreiben und auf Systemebene eskalieren.

Betroffen sind Windows 10, Windows 11 und Windows Server 2019 und neuer. Solange Windows Defender aktiviert ist. Also bei praktisch jedem Windows-System.

UnDefend: Defender lahmgelegt

UnDefend ist die dritte Schwachstelle und ebenfalls ungepatcht. Ein normaler Benutzer kann damit die Definitionsupdates von Microsoft Defender blockieren. Keine Definitionsupdates bedeutet: Der Virenscanner wird mit der Zeit wirkungslos. Eingefrorene Signaturen, keine Erkennung neuer Bedrohungen.

Aktive Angriffe seit dem 10. April

Die Sicherheitsfirma Huntress beobachtet seit dem 10. April 2026 aktive Angriffe mit BlueHammer. Am 16. April folgten RedSun und UnDefend. Die Angriffe zeigen typische Hands-on-Keyboard-Aktivität: whoami /priv, cmdkey /list, net group.

Einen betroffenen Rechner hat Huntress isoliert, um weitere Schäden zu verhindern.

Was das bedeutet

Drei Zero-Days in einem Monat, veröffentlicht als Protest. Zwei davon aktiv ausgenutzt, ohne Patch in Sicht. Microsoft antwortet mit Standardsätzen über „coordinated vulnerability disclosure". Das klingt nach Prozess, nicht nach Dringlichkeit.

Wer Windows nutzt und Defender aktiviert hat, ist betroffen. Einen vollständigen Schutz gibt es nur mit dem Patch. Der existiert für RedSun und UnDefend nicht.

Das ist nicht das erste Mal, dass ein Forscher Exploits veröffentlicht, weil er sich von Microsoft nicht gehört fühlt. Es wird nicht das letzte Mal sein.

Quellen:

• The Hacker News: Three Microsoft Defender Zero-Days Actively Exploited
• Bleeping Computer: Recently leaked Windows zero-days now exploited in attacks
• Picus Security: BlueHammer & RedSun CVE-2026-33825 Explained
• GitHub: Nightmare-Eclipse/RedSun