Mehrere Zero-Day-Lücken in Microsofts Sicherheitssuite werden bereits aktiv ausgenutzt. Die US-Behörde CISA hat eine Frist gesetzt.
Microsoft hat außerplanmäßige Sicherheitsupdates veröffentlicht, um mehrere kritische Schwachstellen in seinem Defender-Virenschutz zu schließen. Die Lücken, die Angreifern eine Ausweitung ihrer Zugriffsrechte und sogar die Deaktivierung des Antivirenschutzes ermöglichen, werden nach Angaben der US-Cybersicherheitsbehörde CISA bereits aktiv ausgenutzt. Betroffen sind Millionen von Windows-Systemen weltweit – auch in deutschen Unternehmen und Behörden.
Angesichts kritischer Sicherheitslücken ist ein verlässliches Notfall-Medium für jeden PC-Nutzer unverzichtbar. Dieser kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie einen Windows-11-USB-Stick erstellen, um Ihr System im Ernstfall sicher zu reparieren oder neu zu installieren. Gratis-Anleitung für Windows 11 Boot-Stick sichern
„RedSun“ und „UnDefend“: Zwei gefährliche Sicherheitslücken
Im Zentrum der aktuellen Patches stehen zwei Schwachstellen, die von Sicherheitsforschern als „RedSun“ (CVE-2026-41091) und „UnDefend“ (CVE-2026-45498) bezeichnet werden. „RedSun“ ist ein lokaler Privilegienausweitungsfehler in der Microsoft Malware Protection Engine (mpengine.dll). Mit einem CVSS-Score von 7,8 ermöglicht er einem Angreifer mit niedrigen Zugriffsrechten, seine Berechtigungen auf SYSTEM-Ebene auszuweiten – und damit die vollständige Kontrolle über den betroffenen Rechner zu erlangen.
Die zweite Lücke, „UnDefend“, zielt auf die Komponente MsMpEng.exe ab. Obwohl ihr CVSS-Wert mit 4,0 niedriger ausfällt, ist sie für Angriffsketten besonders wertvoll: Sie ermöglicht eine Denial-of-Service-Bedingung, die den Virenschutz stumm schaltet – ohne dass der Nutzer eine Warnung erhält. Sicherheitsforscher berichten, dass die Exploits von einem Nutzer namens „Chaotic Eclipse“ öffentlich gemacht wurden, nachdem es zu Unstimmigkeiten mit Microsoft über den Offenlegungsprozess gekommen war.
Eine dritte Schwachstelle (CVE-2026-45584) mit einem CVSS-Score von 8,1, die eine Remote-Code-Ausführung erlaubt, wurde ebenfalls im aktuellen Update-Zyklus geschlossen. Microsoft empfiehlt, die Malware Protection Engine in Version 1.1.26040.8 oder höher sowie die Defender-Plattform in Version 4.18.26040.7 oder höher zu betreiben.
CISA setzt Frist – Angriffswelle rollt
Die Dringlichkeit der Patches unterstreicht ein aktueller Bericht von Bedrohungsanalysten: Die Ausnutzung von Sicherheitslücken hat im ersten Quartal 2026 Social Engineering als häufigsten initialen Zugangsvektor überholt. Demnach entfallen 38 Prozent aller Angriffe auf Exploits, während Social Engineering nur noch auf 24 Prozent kommt.
CISA hat Bundesbehörden angewiesen, die Patches bis zum 3. Juni 2026 einzuspielen. Diese Frist gilt als Richtlinie für die gesamte öffentliche Verwaltung und signalisiert die Schwere der Bedrohung. Auch das indische CERT-In warnte vor „hochriskanten“ Schwachstellen in einer Reihe von Microsoft-Produkten, darunter Windows 10, Windows 11, Office, SharePoint und der Edge-Browser.
Secure-Boot-Zertifikate laufen aus – Handlungsbedarf für Administratoren
Parallel zu den Defender-Patches bereitet Microsoft einen weiteren sicherheitsrelevanten Umbruch vor: Am 27. Juni 2026 laufen Secure-Boot-Zertifikate ab, die seit 2011 im Einsatz sind. Betroffen sind Windows 10, Windows 11 und verschiedene Windows-Server-Editionen. Während Desktop-Systeme voraussichtlich automatische Updates über Windows Update erhalten, müssen Administratoren von Server-Umgebungen manuelle Validierungen und Rollouts durchführen.
Microsoft koordiniert sich nach eigenen Angaben mit großen OEM-Herstellern wie HPE, Dell und Lenovo, um aktualisierte Firmware bereitzustellen. Ohne diese Maßnahmen könnten Systeme künftige Boot-Level-Sicherheitsupdates nicht mehr empfangen.
Schlag gegen Cybercrime-Plattform „Fox Tempest“
Über das reine Patchen hinaus hat Microsofts Digital Crimes Unit einen direkten Schlag gegen die Infrastruktur von Cyberkriminellen geführt. Die Plattform „Fox Tempest“, ein seit Mai 2025 aktiver Malware-Signing-as-a-Service-Dienst, wurde zerschlagen. Die Plattform stellte Ransomware-Gruppen wie Rhysida und Vanilla Tempest gefälschte digitale Zertifikate zur Verfügung, die gezielt Schulen und Gesundheitseinrichtungen angreifen.
Durch den Missbrauch von Azure Artifact Signing konnten Angreifer Sicherheitsfilter umgehen, die normalerweise unsignierten Code blockieren. Die Operation umfasste die Beschlagnahmung von Domains wie signspace[.]cloud und die Stilllegung zugehöriger virtueller Maschinen.
Windows-Strategie im Wandel: KI rückt in den Fokus
Die Sicherheitsupdates kommen zu einer Zeit bedeutender personeller Veränderungen. Yusuf Mehdi, Executive Vice President und Consumer Chief Marketing Officer, hat nach 35 Jahren seinen Abschied angekündigt. Er bleibt noch bis zum Ende des Geschäftsjahres am 30. Juni 2027 und will in dieser Zeit den Übergang von Windows in eine „agentische Ära“ begleiten, in der KI-Agenten eine zentralere Rolle spielen.
Bereits jetzt zeigt sich dieser Wandel in konkreten Produkten: Microsoft AI Frontiers veröffentlichte das Framework „MagenticLite“, das die Leistung kleiner Sprachmodelle bei der Navigation in Web-Umgebungen verbessert. Windows 11 Version 26H1 (Build 28000) wurde Anfang des Jahres für ausgewählte Neugeräte freigegeben und integriert „Copilot+“-Funktionen.
Während Microsoft auf neue KI-Technologien setzt, bleibt der Schutz der eigenen Online-Identität die wichtigste Verteidigungslinie für jeden Nutzer. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp einrichten, um Passwörter sicher abzuschaffen und Hackern keine Chance mehr zu lassen. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Gleichzeitig reagiert Microsoft auf Nutzerfeedback: Der „schwebende“ Copilot-Button in Office-Anwendungen wie Word, Excel und PowerPoint wird zurückgenommen – Nutzer können ihn wieder in die traditionelle Menüleiste verschieben. Das Mai-2026-Update (KB5089549) behebt zudem langjährige Stabilitätsprobleme mit explorer.exe, die zu Einfrierungen der Taskleiste und des Anmeldebildschirms führten.
Ausblick: Fristen und Herausforderungen
Bis zum 3. Juni 2026 müssen IT-Administratoren die Defender-Patches ausgerollt haben. Parallel dazu steht mit dem Ablauf der Secure-Boot-Zertifikate am 27. Juni 2026 die nächste große Hürde bevor. Die Abkehr von veralteten Authentifizierungsmethoden wie SMS-basierten Codes hin zu sichereren Passkey-Systemen dürfte sich in den kommenden Monaten weiter beschleunigen.
Doch die aktuellen Zero-Day-Lücken zeigen: Auch während Microsofts strategischer Neuausrichtung auf KI bleibt die Absicherung der Kernkomponenten eine permanente Herausforderung. „RedSun“ und „UnDefend“ sind ein ernüchternder Beleg dafür, dass selbst die eigene Sicherheitssuite nicht immun gegen Angriffe ist.
