Der Softwarekonzern erweitert sein Sicherheitspaket um gezieltere Schwachstellenverwaltung und automatische Bedrohungsabwehr. Im Fokus stehen granulare Kontrollmöglichkeiten und schnellere Isolation kompromittierter Geräte.
Mehr Kontrolle über Sicherheitsausnahmen
Microsoft hat diese Woche eine neue Funktion zur Verwaltung von CVE-Ausnahmen in Defender Vulnerability Management vorgestellt. Administratoren können damit einzelne Schwachstellen für einen bestimmten Zeitraum und Umfang von der Erkennung ausschließen, ohne gleich ganze Sicherheitsempfehlungen zu deaktivieren.
Die am 28. Mai veröffentlichte Dokumentation legt fest, dass solche Ausnahmen nur in bestimmten Fällen zulässig sind: wenn kein Hersteller-Patch verfügbar ist, ein Fehlalarm vorliegt oder das Unternehmen das Risiko bewusst akzeptiert hat. Auch geplante spätere Behebungen oder alternative Schutzmaßnahmen gelten als legitime Gründe. Anders als allgemeine Ausnahmen sind diese CVE-spezifischen Ausschlüsse strikt zeitlich begrenzt und können nach Ablauf nicht verlängert werden.
Angesichts immer komplexerer Bedrohungslagen und neuer gesetzlicher Anforderungen müssen Unternehmen ihre IT-Sicherheit heute proaktiv und effizient steuern. Dieser kostenlose Report klärt auf, wie Sie Sicherheitslücken schließen und welche rechtlichen Pflichten Unternehmer jetzt kennen müssen. Gratis-E-Book: Cyber Security Bedrohungen abwenden
Automatische Isolation in Defender for Endpoint
Parallel dazu hat Microsoft eine Preview-Funktion für automatische Angriffsunterbrechung in Defender for Endpoint angekündigt. Das System isoliert kompromittierte Arbeitsstationen automatisch vom Firmennetzwerk, sobald es verdächtige Aktivitäten erkennt.
Das Ziel: Angreifern weniger Zeit im Netzwerk geben und ihre Bewegung zwischen Systemen verhindern. Während der Isolation bleibt lediglich eine gesicherte Verbindung zur Microsoft-Cloud bestehen. So können Sicherheitsteams den Rechner aus der Ferne untersuchen und bereigen.
Streit um Zero-Day-Offenlegungen
Die technischen Neuerungen fallen in eine Phase wachsender Spannungen zwischen Microsoft und der Sicherheitsforschungs-Community. In einem Bulletin vom 27. Mai kritisierte der Konzern die unkoordinierte Offenlegung von sechs Zero-Day-Schwachstellen, die Defender, Windows BitLocker und den Windows Cloud Filter-Treiber betreffen.
Microsoft argumentiert, dass die Veröffentlichung dieser Lücken vor Fertigstellung von Patches die Kunden einem erheblichen Risiko aussetze. Zu den genannten Schwachstellen gehören:
- RedSun (CVE-2026-41091): Eine Rechteausweitung in Microsoft Defender mit einem CVSS-Score von 7.8
- YellowKey (CVE-2026-45585): Eine Umgehung von Sicherheitsfunktionen in BitLocker (CVSS 6.8)
- UnDefend (CVE-2026-45498): Eine Denial-of-Service-Lücke in Defender
- BlueHammer: Eine Rechteausweitung in Microsoft Defender
- GreenPlasma und MiniPlasma: Schwachstellen in BitLocker beziehungsweise dem Windows Cloud Filter
Microsoft appellierte an die Forscher, sich an die Praxis der koordinierten Offenlegung (Coordinated Vulnerability Disclosure, CVD) zu halten. Diese sieht üblicherweise eine 90-tägige Embargofrist vor, um die Entwicklung und Tests von Sicherheitsupdates zu ermöglichen.
Kritische Warnungen aus Indien
In einer separaten Entwicklung hat das indische CERT-In am 28. Mai eine hochriskante Warnung zu Schwachstellen in mehreren Microsoft-Produkten herausgegeben, darunter Microsoft 365 Copilot, Azure, Entra ID und Power Pages. Die Behörde wies darauf hin, dass diese Lücken zu Datendiebstahl und Kontenübernahmen führen könnten, und empfahl Unternehmen, verfügbare Fixes umgehend einzuspielen.
CERT-In führte zudem diese Woche ein neues Cybersicherheits-Framework ein, das für kritische Schwachstellen ein 12-Stunden-Fenster zur Behebung vorsieht. Die Behörde begründet die verkürzte Reaktionszeit mit der zunehmenden Geschwindigkeit KI-gestützter Angriffe.
Da Cyberangriffe durch den Einsatz von KI immer schneller und raffinierter werden, ist ein fundiertes Wissen über neue Schutzmaßnahmen und Gesetze für Firmen unerlässlich. Erfahren Sie im kostenlosen E-Book, wie Sie Ihr Unternehmen ohne teure Investitionen langfristig absichern können. IT-Sicherheit stärken und Cyber-Security-Trends entdecken
Ebenfalls adressiert hat Microsoft eine hochriskante Lücke in SharePoint Server (CVE-2026-45659, CVSS 8.8). Sie könnte authentifizierten Angreifern die Codeausführung per Deserialisierung ermöglichen. Der Fix wurde in die aktuellen Update-Zyklen aufgenommen. Obwohl die Schwachstelle aus dem Internet erreichbar ist, gab es Ende Mai laut Microsoft noch keine Hinweise auf aktive Ausnutzung.
