Microsoft Defender: Zero-Day BlueHammer nutzt 100%-Exploit aktiv

Hacker nutzen die Schwachstelle CVE-2026-33825 für Ransomware-Angriffe. Microsofts Update reichte nicht aus, der Exploit gilt als Zero-Day.

Die US-Cybersicherheitsbehörde CISA hat eine dringende Warnung herausgegeben: Hacker nutzen eine schwerwiegende Sicherheitslücke in Microsoft Defender aktiv für Ransomware-Angriffe aus. Die als CVE-2026-33825 registrierte Schwachstelle trägt den Codenamen „BlueHammer“ und ermöglicht Angreifern, SYSTEM-Rechte zu erlangen – die höchste Zugriffsstufe auf einem Windows-System.

Wie die Lücke funktioniert

Die Verwundbarkeit liegt im Security Account Manager (SAM) von Windows. Über diesen Dienst können lokale Angreifer ihre Rechte ausweiten und praktisch die vollständige Kontrolle über ein System übernehmen. Besonders brisant: Die Sicherheitslücke funktioniert selbst dann, wenn der Echtzeitschutz von Microsoft Defender aktiviert ist.

Forscher von Phantom Labs bestätigten, dass der Exploit – teilweise auch als „RoguePlanet“ bezeichnet – auf Windows 10 und 11 eine Erfolgsrate von 100 Prozent aufweist. Microsoft hatte zwar bereits am 14. April 2026 ein Sicherheitsupdate veröffentlicht, doch offenbar reicht das nicht aus. Die CISA ordnete an, dass Bundesbehörden ihre Systeme bis zum 7. Mai absichern mussten – nun zeigt sich, dass die Lücke dennoch als Zero-Day-Exploit genutzt wird.

Neue Sicherheitsrisiken durch KI-Agenten

Doch nicht nur klassische Malware bereitet Sicherheitsexperten Kopfzerbrechen. Die zunehmende Verbreitung Künstlicher Intelligenz in Unternehmen schafft völlig neue Angriffsflächen. BeyondTrust kündigte am 30. Juni ein neues Modul namens AI Agent Security an. Es soll KI-Assistenten wie Microsoft Copilot, OpenAI Codex oder Claude Code in Echtzeit überwachen und deren Berechtigungen beschränken.

Anzeige

Angesichts der rasanten Verbreitung von KI-Systemen in Unternehmen stellen neue Regulierungen wie der EU AI Act sicherheitsbewusste Betriebe vor große Herausforderungen. Dieser kostenlose Umsetzungsleitfaden hilft Ihnen, die komplexen Anforderungen und Risikoklassen der KI-Verordnung schnell zu verstehen. Kostenlosen Leitfaden zum EU AI Act jetzt herunterladen

Der Schritt kommt nicht von ungefähr: Phantom Labs verzeichnete einen Anstieg von 466,7 Prozent bei der Nutzung unternehmenseigener KI-Agenten im Jahresvergleich. Microsoft reagierte ebenfalls und führte im Juni ein neues multi-modales agentisches Scansystem (MDASH) ein. Der Defender kann nun über 25 lokale KI-Agenten und MCP-Server verwalten.

Windows 365: Dynamische Zugriffskontrollen

Parallel dazu erweitert Microsoft die Sicherheitsfunktionen für Windows 365. Seit dem 30. Juni können Administratoren den Datenfluss zwischen virtuellen Desktops und lokalen Geräten dynamisch steuern. Die Funktionen, die sich derzeit in der öffentlichen Vorschau befinden, regeln den Zugriff auf Zwischenablagen, USB-Geräte, Drucker und lokale Speicher.

Die Steuerung erfolgt über Entra Conditional Access. Dabei werden Benutzeridentität, Gerätestatus und Netzwerkbedingungen ausgewertet. Das ist besonders für Mitarbeiter relevant, die von privaten Geräten aus auf Unternehmensdaten zugreifen.

Anzeige

Die Absicherung mobiler Arbeitsplätze und virtueller Desktops ist für den modernen Datenschutz unerlässlich, um teure Sicherheitslücken zu vermeiden. Erhalten Sie hier kostenlose Vorlagen und Checklisten, mit denen Sie Home-Office und mobiles Arbeiten in Ihrem Unternehmen rechtssicher gestalten. Gratis-Vorlagen für sicheres mobiles Arbeiten sichern

Server-Lücke und Support-Enden

Neben BlueHammer sorgt eine weitere Schwachstelle für Unruhe. Für CVE-2026-24294 – einen NTLM-Reflection-Bypass in Windows Server 2025 – wurde ein Proof-of-Concept veröffentlicht. Der Exploit missbraucht SMB über beliebige TCP-Ports, um SYSTEM-Zugriff zu erlangen. Microsoft schloss die Lücke zwar im März 2026, doch ungepatchte Server bleiben verwundbar.

Gleichzeitig stehen mehrere Support-Enden bevor:

  • Seit dem 1. Juli 2026 erhalten Office-Apps aus dem Microsoft Store keine Updates mehr
  • Windows 11 Version 24H2 erreicht am 13. Oktober 2026 das Support-Ende
  • Rund 181 Millionen Geräte laufen noch mit Windows 10 – kurz vor dessen geplanter Einstellung

Für Unternehmen bedeutet das: Wer jetzt nicht handelt, riskiert nicht nur Datenverluste durch Ransomware, sondern auch den Verlust des Sicherheitsschutzes für ganze Betriebssystemgenerationen.