Ein Sicherheitsforscher liefert sich mit Microsoft einen Schlagabtausch im Hinblick auf die Veröffentlichung von 0-Day-Sicherheitslücken. Nach BlueHammer hat der Experte den nächsten 0-Day mit Namen RedSun samt Exploit veröffentlicht. Und es gibt noch einen UnDefend genannte n "Exploit", den der Sicherheitsforscher veröffentlicht hat.
Zoff wegen Inkompetenz des MSRC-Teams
Die Hintergründe, warum der Sicherheitsforscher Chaotic Eclipse ständig 0-Day-Schwachstellen samt Exploits veröffentlicht, liegt mutmaßlich in der Arbeitsweise des Microsoft Security Response Teams (MSRT). Die Mitarbeiter dieses Teams sind inzwischen darauf getrimmt, Sicherheitsmeldungen stur nach Schema-F abzuarbeiten. Das führt dazu, dass Sicherheitsmeldungen oft nicht richtig eingeordnet oder falsch bewertet werden.
So hatte Chaotic Eclipse vor einiger Zeit eine Schwachstelle beim MSRT gemeldet, die das Verhalten des Defender betraf. Meiner Interpretation nach erhielt er eine ablehnende Rückmeldung. Darauf hat Chaotic Eclipse die Information über die Schwachstelle zum 3. April 2026 auf X öffentlich gemacht und ein Proof of Concept (PoC) für einen Exploit auf GitHub bereitgestellt.
Obiger Tweet greift den Sachverhalt, den ich im Blog-Beitrag BlueHammer: Windows 0-day-Schwachstelle beschrieben habe, auf. Zum 14. April 2026 gab es dann einen Patch von Microsoft – und ich habe das im Rahmen einer Nachlese im Beitrag BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra samt einer Analyse von Fortra angesprochen.
Aber nach dem Patch ist vor dem Patch, Chaotic Eclipse hat binnen 14 Tagen gleich drei 0-Day-Exploits im Defender veröffentlicht. Neben BlueHammer gibt es noch einen Exploit UnDefend, sowie den nachfolgend beschriebenen RedSun 0-Day-Exploit.
RedSun: Noch ein Defender-0-Day
Mir ist die Information über eine weitere, bisher ungepatchte, Schwachstelle im Windows Defender über nachfolgenden Tweet untergekommen. Im Post wird davor gewarnt, dass der in Windows mitgelieferte Defender "kompromittiert" sei.
Es gebe einen öffentlich bekannten, ungepatchten Exploit, der jeder App auf einem Windows-System volle Systemadministratorrechte gewährt. Angriffsvektor sei der Microsoft Defender. Ransomware Gangs könnten dies nutzen, um das gesamte System zu verschlüsseln und alle gespeicherten Passwörter, Browsersitzungen und Discord-Token zu stehlen. Das sei auch auf einem vollständig gepatchten Windows 11 bei aktiviertem Echtzeitschutz möglich.
In obigem Tweet gibt impulsive noch einige Details zum RedSun-0-Day-Exploit.
Der 0-Day-Exploit nutzt eine Race Condition aus: Findet der Microsoft Defender eine verdächtige Datei, die mit einem Cloud-Tag versehen ist, versucht er, diese zu "reparieren". Die Reparatur besteht darin, dass der Defender die Datei an ihren ursprünglichen Speicherort zurück kopiert.
Der Exploit verwendet nun die OPLOCK-Technik und eine Verknüpfung (Junction), um diesen Schreibvorgang in C:\Windows\System32 umzuleiten. Während der Defender "glaubt", dass er die Dateien in einen temporären Ordner speichert, werden diese jedoch in den Ordner C:\Windows\System32 geschrieben. So könnten Angreifer den Defender anleiten, eine infizierte Datei mit einem Payload selbst in den betreffenden System32-Ordner zu liefern. Diese Dateien lassen sich dann mit Systemrechten ausführen. Chaotic Eclipse hat den Exploit auf GitHub veröffentlicht.
UnDefend blockiert Defender-Updates
In einem Folgetweet merkt der Poster an, dass Chaotic Eclipse neben den oben erwähnten 0-Day-Exploits BlueHammer (CVE-2026-33825) und RedSun in den letzten 14 Tagen auch noch das Tool UnDefend veröffentlichte habe. Bei UnDefend handelt es sich um ein auf GitHub veröffentlichtes Repository mit einen Windows Defender-DOS-Tool.
Dieses Tool benötigt keine Administratorrechte und kann als Standardbenutzer ausgeführt werden. Es unterstützt dabei zwei Modi: passiv und aggressiv.
- Im passiven Modus blockiert der PoC alle Signatur-Updates, sodass Defender keine neuen Bedrohungen erkennen kann. Wenn also von Microsoft etwas Neues bereitgestellt wird, wird es sofort blockiert.
- Im aggressiven Modus zielt der PoC darauf ab, das Programm vollständig zu deaktivieren, doch dies funktioniert nur, wenn Microsoft ein umfangreiches Plattform-Update (Update von MsMpEng.exe und anderen Binärdateien) bereitstellt.
Da Defender-Updates von Microsoft nicht wie Signatur-Updates regelmäßig veröffentlicht werden, läuft der PoC standardmäßig im passiven Modus. Wenn Nutzer jedoch ein umfangreiches Plattform-Update erwarten, können Sie den PoC so einstellen, dass das Tool im aggressiven Modus läuft. Dann reagiert der Windows Defender nicht mehr und ist vollständig deaktiviert. Screenshots und Exploit finden sich im GitHub-Repository UnDefend. Sieht so aus, als ob Chaotic Eclipse inzwischen eine "persönliche Feindschaft" mit dem MSRT pflegt und die nach Strich und Faden vorführt.
Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
MVP: 2013 – 2016
Und trotzdem ist der Windows Defender vermutlich besser als Adlumin, Bitdefender, ESET, G DATA, Malwarebytes und Konsorten.
Auf lange Sicht bestimmt. Speziell in diesem Fall steht der Defender mit heruntergelassener Hose da. Wie oft das den "Söldnern" passiert, weiß ich nicht.
Ich nutze Eset und bin sehr zufrieden… hat nämlich den Vorteil das man das entegegen dem Defender sehr fein granular einstellen kann! Außerdem nervt der nicht ständig mit False Postives wie der der Defender.
Defender meckert regelmässig eigene script und progs als gefährlich und blockt sie. Mit der Begründung die Software ist nicht weitverbreitet, unbekannt und damit ein erhöhtes Risiko… klar ist die nicht verbreitet da das selbtgeproggt für den Eigenbedarf ist! Dumbfender! Nein Danke!