![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Ein Sicherheitsforscher liefert sich mit Microsoft einen Schlagabtausch im Hinblick auf die Ver\u00f6ffentlichung von 0-Day-Sicherheitsl\u00fccken. Nach BlueHammer hat der Experte den n\u00e4chsten 0-Day mit Namen RedSun samt Exploit ver\u00f6ffentlicht. Und es gibt noch einen UnDefend genannte n \"Exploit\", den der Sicherheitsforscher ver\u00f6ffentlicht hat.<\/p>\n
<\/p>\n
Die Hintergr\u00fcnde, warum der Sicherheitsforscher Chaotic Eclipse st\u00e4ndig 0-Day-Schwachstellen samt Exploits ver\u00f6ffentlicht, liegt mutma\u00dflich in der Arbeitsweise des Microsoft Security Response Teams (MSRT). Die Mitarbeiter dieses Teams sind inzwischen darauf getrimmt, Sicherheitsmeldungen stur nach Schema-F abzuarbeiten. Das f\u00fchrt dazu, dass Sicherheitsmeldungen oft nicht richtig eingeordnet oder falsch bewertet werden.<\/p>\n
So hatte Chaotic Eclipse vor einiger Zeit eine Schwachstelle beim MSRT gemeldet, die das Verhalten des Defender betraf. Meiner Interpretation nach erhielt er eine ablehnende R\u00fcckmeldung. Darauf hat Chaotic Eclipse die Information \u00fcber die Schwachstelle zum 3. April 2026 auf X \u00f6ffentlich gemacht und ein Proof of Concept (PoC) f\u00fcr einen Exploit auf GitHub bereitgestellt.<\/p>\n
![\"BlueHammer](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/BlueHammer.jpg\")
<\/p>\n
Obiger Tweet greift den Sachverhalt, den ich im Blog-Beitrag\u00a0BlueHammer: Windows 0-day-Schwachstelle<\/a> beschrieben habe, auf. Zum 14. April 2026 gab es dann einen Patch von Microsoft – und ich habe das im Rahmen einer Nachlese im Beitrag BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra<\/a> samt einer Analyse von Fortra angesprochen.<\/p>\n Aber nach dem Patch ist vor dem Patch, Chaotic Eclipse hat binnen 14 Tagen gleich drei 0-Day-Exploits im Defender ver\u00f6ffentlicht. Neben BlueHammer<\/em> gibt es noch einen Exploit UnDefend,<\/em> sowie den nachfolgend beschriebenen RedSun<\/em> 0-Day-Exploit.<\/p>\n Mir ist die Information \u00fcber eine weitere, bisher ungepatchte, Schwachstelle im Windows Defender \u00fcber nachfolgenden Tweet<\/a> untergekommen. Im Post wird davor gewarnt, dass der in Windows mitgelieferte Defender \"kompromittiert\" sei.<\/p>\n Es gebe einen \u00f6ffentlich bekannten, ungepatchten Exploit, der jeder App auf einem Windows-System volle Systemadministratorrechte gew\u00e4hrt. Angriffsvektor sei der Microsoft Defender. Ransomware Gangs k\u00f6nnten dies nutzen, um das gesamte System zu verschl\u00fcsseln und alle gespeicherten Passw\u00f6rter, Browsersitzungen und Discord-Token zu stehlen. Das sei auch auf einem vollst\u00e4ndig gepatchten Windows 11 bei aktiviertem Echtzeitschutz m\u00f6glich.<\/p>\n In obigem Tweet<\/a> gibt impulsive noch einige Details zum RedSun-0-Day-Exploit. Der Exploit verwendet nun die OPLOCK-Technik<\/a> und eine Verkn\u00fcpfung (Junction), um diesen Schreibvorgang in C:\\Windows\\System32<\/em> umzuleiten. W\u00e4hrend der Defender \"glaubt\", dass er die Dateien in einen tempor\u00e4ren Ordner speichert, werden diese jedoch in den Ordner C:\\Windows\\System32 <\/em>geschrieben.\u00a0So k\u00f6nnten Angreifer den Defender anleiten, eine infizierte Datei mit einem Payload selbst in den betreffenden System32-<\/em>Ordner zu liefern. <\/em>Diese Dateien lassen sich dann mit Systemrechten ausf\u00fchren. Chaotic Eclipse hat den Exploit auf GitHub ver\u00f6ffentlicht<\/a>.<\/p>\n In einem Folgetweet merkt der Poster an, dass Chaotic Eclipse neben den oben erw\u00e4hnten 0-Day-Exploits BlueHammer (CVE-2026-33825) und RedSun in den letzten 14 Tagen auch noch das Tool UnDefend<\/a> ver\u00f6ffentlichte habe. Bei UnDefend handelt es sich um ein auf GitHub ver\u00f6ffentlichtes Repository mit einen Windows Defender-DOS-Tool.<\/p>\n Dieses Tool ben\u00f6tigt keine Administratorrechte und kann als Standardbenutzer ausgef\u00fchrt werden.\u00a0Es unterst\u00fctzt dabei zwei Modi: passiv und aggressiv.<\/p>\n Da Defender-Updates von Microsoft nicht wie Signatur-Updates regelm\u00e4\u00dfig ver\u00f6ffentlicht werden, l\u00e4uft der PoC standardm\u00e4\u00dfig im passiven Modus. Wenn Nutzer jedoch ein umfangreiches Plattform-Update erwarten, k\u00f6nnen Sie den PoC so einstellen, dass das Tool im aggressiven Modus l\u00e4uft. Dann reagiert der Windows Defender nicht mehr\u00a0 und ist vollst\u00e4ndig deaktiviert. Screenshots und Exploit finden sich im GitHub-Repository UnDefend<\/a>. Sieht so aus, als ob Chaotic Eclipse inzwischen eine \"pers\u00f6nliche Feindschaft\" mit dem MSRT pflegt und die nach Strich und Faden vorf\u00fchrt.<\/p>\n \u00c4hnliche Artikel:<\/strong> Ein Sicherheitsforscher liefert sich mit Microsoft einen Schlagabtausch im Hinblick auf die Ver\u00f6ffentlichung von 0-Day-Sicherheitsl\u00fccken. Nach BlueHammer hat der Experte den n\u00e4chsten 0-Day mit Namen RedSun samt Exploit ver\u00f6ffentlicht. Und es gibt noch einen UnDefend genannte n \"Exploit\", den der … Weiterlesen RedSun: Noch ein Defender-0-Day<\/h2>\n
![\"Windows](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/Windows-Defender-RedSun01.jpg\")
<\/a><\/p>\n![\"Windows-Defender](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/Windows-Defender-RedSun02.jpg\")
<\/a><\/p>\n
\nDer 0-Day-Exploit nutzt eine Race Condition aus: Findet der Microsoft Defender eine verd\u00e4chtige Datei, die mit einem Cloud-Tag versehen ist, versucht er, diese zu \"reparieren\". Die Reparatur besteht darin, dass der Defender die Datei an ihren urspr\u00fcnglichen Speicherort zur\u00fcck kopiert.<\/p>\nUnDefend blockiert Defender-Updates<\/h2>\n
\n
\nBlueHammer: Windows 0-day-Schwachstelle<\/a>
\nBlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"