Drei kritische Zero-Day-Lücken in Defender, ein Patch-Tuesday mit 165 Schwachstellen und eine ungewollte Server-Upgrade-Welle stellen IT-Abteilungen vor enorme Herausforderungen. Besonders brisant: Zwei der Defender-Lücken sind noch immer nicht geschlossen.
Kritische Zero-Day-Lücken in Defender
Die Lage spitzte sich Mitte April zu, als Sicherheitsforscher drei Zero-Day-Schwachstellen in Microsoft Defender identifizierten. Die Lücken mit den Codenamen BlueHammer, RedSun und UnDefend werden bereits aktiv ausgenutzt. Während BlueHammer mit dem April-Patch behoben wurde, bleiben RedSun und UnDefend ein akutes Risiko.
Angesichts der aktuellen Sicherheitslücken im Microsoft Defender ist ein proaktiver Schutz des eigenen Rechners wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihren Windows-PC effektiv vor Viren und Spionage-Software absichern. Gratis-Ratgeber: Anti-Virus-Paket jetzt herunterladen
Die RedSun-Lücke erregte besondere Aufmerksamkeit, nachdem ein Forscher unter dem Pseudonym Chaotic Eclipse einen Proof-of-Concept-Exploit veröffentlichte. Er begründete den Schritt mit mangelnder Reaktion von Microsoft. RedSun ermöglicht Angreifern, SYSTEM-Rechte zu erlangen – und damit die vollständige Kontrolle über ein kompromittiertes System.
Die Ausnutzung von BlueHammer wurde erstmals um den 10. April beobachtet. Nur sechs Tage später, am 16. April, begannen Angreifer, RedSun und UnDefend aktiv zu nutzen. Da für diese beiden noch kein offizieller Patch vorliegt, warnt die Branche vor hohen Risiken für Unternehmen, die sich auf Standard-Defender-Konfigurationen verlassen. Das Zeitfenster zwischen Entdeckung einer Lücke und verfügbaren Exploits schrumpft weiter.
Patch-Tuesday-Chaos und ungewollte Server-Upgrades
Der Patch Tuesday im April war einer der umfangreichsten der letzten Monate. Microsoft veröffentlichte Updates für 165 Schwachstellen, acht davon mit kritischem Schweregrad. Inklusive Drittanbieter-Code wie der Chromium-Engine wurden sogar 247 potenzielle Lücken adressiert. Kritische Patches gab es unter anderem für SharePoint, das bereits aktiv angegriffen wurde, und für Defender-Komponenten.
Doch die Update-Welle löste erhebliche Störungen aus. Am 14. April führten kumulative Sicherheitsupdates zu einem folgenschweren Fehler für Server mit Windows Server 2019 und 2022. Drittanbieter-Verwaltungssoftware interpretierte Feature-Updates fälschlicherweise als empfohlen statt optional. Die Folge: Zahlreiche Server wurden ohne Zustimmung der Administratoren automatisch auf Windows Server 2025 upgegradet.
Microsoft hat das Problem inzwischen erkannt und den automatischen Upgrade-Pfad deaktiviert. Dieser Vorfall verschärfte die ohnehin bestehenden Probleme mit Windows Server 2025. Seit Juni 2025 scheitern Installationen über den Windows Update Standalone Installer (WUSA) von Netzwerkfreigaben mit einem Pfadnamen-Fehler. Als Workaround empfiehlt Microsoft, Update-Dateien lokal zu speichern.
Gefälschte Updates und neue Secure-Boot-Regeln
Während Microsoft an echten Patches arbeitet, nutzen Cyberkriminelle die Verunsicherung aus. Eine raffinierte Kampagne zielt seit dem 9. April auf französischsprachige Nutzer ab. Über die gefälschte Domain microsoft-update.support wird eine 83-Megabyte-Datei namens „WindowsUpdate 1.0.0.msi“ als angebliches Windows-11-Update verteilt. Tatsächlich installiert sie einen Infostealer, der Browser-Passwörter, Bankdaten und Cookies ausspäht.
Die Malware, entdeckt von Malwarebytes, ist technisch anspruchsvoll. Sie nutzt Electron, Python und VBS, um sich dauerhaft auf infizierten Rechnern einzunisten. Zum Zeitpunkt der Entdeckung umging sie 69 Antiviren-Engines auf VirusTotal. Sicherheitsexperten raten eindringlich, Updates nur über die offiziellen Windows-Update-Einstellungen oder den Microsoft Update Catalog zu beziehen.
Parallel setzt Microsoft eine wichtige Änderung bei Secure Boot durch. Seit April führt das Unternehmen strengere Zertifikatsprüfungen ein. Grund sind ablaufende Legacy-Zertifikate von 2011 im Juni 2026. Besonders betroffen sind ältere Hardware und Windows-10-Nutzer. Die Windows-Sicherheits-App zeigt nun Statusmeldungen in Grün, Gelb oder Rot an, um über die Kompatibilität zu informieren. Ab Mai werden die Warnungen voraussichtlich prominenter angezeigt.
Alte Grenzen fallen, neue Werbeaktionen starten
Trotz der Sicherheitsprobleme modernisiert Microsoft auch veraltete Systemteile. Das Unternehmen hob eine 30 Jahre alte Beschränkung des FAT32-Dateisystems auf. Statt der bisherigen Obergrenze von 32 Gigabyte unterstützt es nun Volumen bis zu 2 Terabyte. Diese Limitierung bestand seit März 1994.
Im Browser-Markt geht Microsoft ungewöhnliche Wege. Mitte April wurde bekannt, dass das Unternehmen eine Verlosung im Wert von 2 Millionen US-Dollar für Edge-Nutzer gestartet hat. Der Hauptgewinn beträgt eine Million Dollar, dazu kommen Mercedes-Benz-Fahrzeuge. Erstaunlich: Die Aktion blieb einen Monat lang von der Tech-Presse unbeachtet, bis Fachmedien am 17. und 18. April darüber berichteten.
Weitere Verbesserungen bringt das aktuelle Windows-11-Release Preview Build 26200.8313. Es beschleunigt den Datei-Explorer, behebt Darstellungsfehler im Dark Mode und reduziert Abstürze der explorer.exe. Zudem erweitert es die native Unterstützung für Archivformate wie cpio und nupkg.
Wer trotz der aktuellen Update-Herausforderungen den Wechsel auf das neueste Betriebssystem wagen möchte, findet hier die nötige Unterstützung. Der kostenlose PDF-Report liefert alle wichtigen Informationen für einen sicheren und problemlosen Umstieg auf Windows 11. Hier Windows 11 Starterpaket kostenlos sichern
Ausblick: Hoher Wartungsaufwand für IT-Abteilungen
Die aktuelle Situation bedeutet für IT-Abteilungen eine phase intensiver Wartung. Die ungepatchten Zero-Day-Lücken RedSun und UnDefend erfordern erhöhte Wachsamkeit und zusätzliche Sicherheitsebenen jenseits standardmäßiger Antiviren-Signaturen. Der nächste Patch Tuesday ist für den 12. Mai geplant. Bis dahin müssen Unternehmen entscheiden, ob sie manuelle Workarounds implementieren oder auf offizielle Fixes warten.
Das größere Cybersicherheits-Umfeld bleibt volatil. Daten des FBI Internet Crime Complaint Center (IC3) für 2025 zeigen: Die Gesamtschäden durch Cyberkriminalität stiegen um 26 Prozent auf rund 20,9 Milliarden US-Dollar. Anlagebetrug und Business Email Compromise (BEC) treiben diese Verluste hauptsächlich voran.
Während Microsoft den Übergang zu neuen Secure-Boot-Zertifikaten bewältigt und die Folgen der April-Updates bereinigt, liegt der Fokus in den kommenden Monaten auf zwei Zielen: die Windows-Server-Umgebung zu stabilisieren und die anhaltende Bedrohung durch ungepatchte Defender-Schwachstellen zu neutralisieren.
