![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Zum 3. April 2026 hat ein Sicherheitsforscher eine 0-day-Schwachstelle in Windows aufgedeckt, die den Update-Mechanismus des Defender betrifft, ohne allerdings Details zu nennen. Mir liegt inzwischen eine tiefergehende Analyse vor. Zudem hat Microsoft zum 14. April 2026 die BlueHammer genannte Schwachstelle geschlossen.<\/p>\n
<\/p>\n
Ein Sicherheitsforscher mit dem Alias Chaotic Eclipse ist vor einiger Zeit auf eine 0-day-Schwachstelle im internen Mechanismus zur Signaturaktualisierung des in Windows enthaltenen Microsoft Defender gesto\u00dfen. Dieser Mechanismus erm\u00f6glicht eine\u00a0lokale Rechteausweitung. Die Meldung an das Microsoft Security Response Team (MSRT) war aber nicht so wie erhofft. Meine Interpretation ist, dass das MSRT die Bugmeldung als nicht relevant abgelehnt hat.<\/p>\n
![\"BlueHammer](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/BlueHammer.jpg\")
<\/p>\n
Darauf hat Chaotic Eclipse die Information \u00fcber die Schwachstelle zum 3. April 2026 auf X \u00f6ffentlich gemacht und ein Proof of Concept (PoC) f\u00fcr einen Exploit auf GitHub bereitgestellt. Ich hatte den Sachverhalt im Blog-Beitrag BlueHammer: Windows 0-day-Schwachstelle<\/a> aufgegriffen.<\/p>\n Zum 13. April 2026 fragte jemand in diesem anonymen Kommentar<\/a> nach, \"Gibt es in der Zwischenzeit ein Update, ob ein Patch verf\u00fcgbar ist und sogar schon ausgerollt wurde? Ich habe festgestellt, dass einige Plattformen auf diese Meldung aufgesprungen waren \u2013 aber aber seit dem ist auch irgendwie nur Grillzirpen zu vernehmen.\" Nun ja, f\u00fcr \"Grillzirpen\" hielt ich das Ganze nicht – wobei ich nicht wei\u00df, ob Grillen, die zirpen, gemeint war, oder ob es um Krill ging, der irgendwie nicht zirpt. Egal – ich hatte die Person auf dem April 2026-Patchday verwiesen.<\/p>\n Im Blog-Beitrag Microsoft Security Update Summary<\/a> (14. April 2026) hatte ich erw\u00e4hnt, dass Microsoft zum April 2026-Patchday eine Microsoft Defender Elevation of Privilege-Schwachstelle geschlossen habe. Der Schwachstelle CVE-2026-33825<\/a> wurde ein CVSSv3 Score 7.8, Important, zugewiesen.<\/p>\n Gleichzeitig\u00a0hat Microsoft ein Update f\u00fcr die Microsoft Defender Antimalware Platform auf die Build 4.18.26030.3011 zum 14. April 2026 ver\u00f6ffentlicht. Dieses Sicherheitsupdate soll diese Schwachstelle schlie\u00dfen (es gibt aber weitere Schwachstellen).<\/p>\n Im Rahmen der BlueHammer-Nachlese greife ich noch eine Information auf, die mich bereits am 13. April 2026, allerdings erst am sp\u00e4teren Abend, erreichte. Spezialisten des US-Sicherheitsanbieters Fortra haben sich die verf\u00fcgbaren Informationen zu einem Exploit, der ver\u00f6ffentlicht wurde, beschafft und dann eine eigene Analyse der BlueHammer-Schwachstelle vorgenommen. In einer E-Mail mit dem Betreff \"FIRE Analysis: Understanding the BlueHammer Windows LPE and How to Defend Against It\", die mir dann von Fortra zugeschickt wurde, weist das Unternehmen auf die eigenen Erkenntnisse hin.<\/p>\n Die Experten von Fortra Intelligence and Research (FIRE) haben eine umfassende technische Analyse zu BlueHammer ver\u00f6ffentlicht. Die Experten stufen das Ganze als einen ausgekl\u00fcgelten Windows-Zero-Day-Exploit ein, der durch den Missbrauch vertrauensw\u00fcrdiger, integrierter Komponenten wie Microsoft Defender eine Rechteausweitung auf SYSTEM-Ebene erm\u00f6glicht.<\/p>\n Fortra hat die detaillierte Analyse unter dem Titel\u00a0Analysis of\u202fBlueHammer: LPE Exploiting Windows Defender Updates\u202f<\/a> allgemeinzug\u00e4nglich ver\u00f6ffentlicht.\u00a0In ihrer Analyse schl\u00fcsseln die Experten den Exploit Schritt f\u00fcr Schritt auf, beschreiben die genauen Voraussetzungen f\u00fcr einen erfolgreichen Angriff und heben Verhaltensmerkmale hervor, die Sicherheitsbeauftragte in Unternehmen \u00fcberwachen k\u00f6nnen.<\/p>\n Fortra hat die Analyse ver\u00f6ffentlicht, um Sicherheitsverantwortlichen in Sicherheitsteams zu helfen, die Funktionsweise des Angriffs in der Praxis besser zu verstehen und Erkennungsstrategien zu verbessern, die \u00fcber herk\u00f6mmliche Signaturen hinausgehen. Aber nach dem Patch ist vor dem Patch – es gibt noch zwei weitere Sicherheitsl\u00fccken. Muss mal schauen, wann ich Zeit finde, dazu was zu schreiben.<\/p>\n \u00c4hnliche Artikel:<\/strong> Zum 3. April 2026 hat ein Sicherheitsforscher eine 0-day-Schwachstelle in Windows aufgedeckt, die den Update-Mechanismus des Defender betrifft, ohne allerdings Details zu nennen. Mir liegt inzwischen eine tiefergehende Analyse vor. Zudem hat Microsoft zum 14. April 2026 die BlueHammer genannte … Weiterlesen Microsoft patcht BlueHammer<\/h2>\n
Analyse der\u00a0BlueHammer-Schwachstelle<\/h2>\n
\nMicrosoft Security Update Summary<\/a>\u00a0(14. April 2026)
\nPatchday: Windows 10\/11 Updates<\/a>\u00a0(14. April 2026)
\nPatchday: Windows Server-Updates<\/a>\u00a0(14. April 2026)
\nPatchday: Microsoft Office Update<\/a>s (14. April 2026)<\/p>\n","protected":false},"excerpt":{"rendered":"