Die US-Cybersicherheitsbehörde CISA bestätigt: Erpresserbanden greifen aktiv eine Schwachstelle in Microsoft Defender an. Betroffen sind Millionen Windows-Rechner weltweit.
„BlueHammer“: Angreifer erlangen volle Systemkontrolle
Die als CVE-2026-33825 registrierte Sicherheitslücke – von Experten „BlueHammer“ getauft – ermöglicht lokalen Angreifern den Zugriff auf die Sicherheitsdatenbank SAM (Security Account Manager). Das Ziel: die Rechteausweitung auf die höchste Systemebene.
Microsoft hatte das Problem bereits am 14. April 2026 mit einem Update behoben. Doch das reicht nicht. Sicherheitsforscher von Huntress Labs beobachten „aktive manuelle Eingriffe“ von Ransomware-Gruppen, die den Exploit einsetzen. Die Schwachstelle war Anfang April vom Forscher Nightmare Eclipse veröffentlicht worden – inklusive eines funktionsfähigen Proof-of-Concept.
Die CISA reagierte am 22. April und nahm BlueHammer in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf. US-Behörden mussten bis zum 7. Mai patchen. Dennoch: Kriminelle Banden setzen die Waffe weiter ein. Es ist bereits der achte Microsoft-Defender-Fehler, den die CISA auf diese Weise markiert hat.
„RoguePlanet“: Neue Umgehungstechnik macht Defender machtlos
Noch am heutigen Dienstag veröffentlichte derselbe Forscher einen weiteren Exploit namens „RoguePlanet“. Die Methode nutzt eine sogenannte Race-Condition aus – eine zeitliche Lücke im Systemablauf – um Microsoft Defender auf Windows 10 und Windows 11 zu umgehen.
Der RoguePlanet-Exploit umgeht Microsoft Defender mit 100% Erfolgsquote – selbst bei aktiviertem Echtzeitschutz. Dieser Report liefert Ihnen die 5 wichtigsten Patches und eine Härtungsanleitung, bevor Angreifer Ihre Systeme kompromittieren. Jetzt kostenlosen Sicherheits-Report anfordern
Das Besondere: RoguePlanet funktioniert selbst dann, wenn der Echtzeitschutz aktiviert ist. Tests auf bestimmten Maschinen zeigten eine Erfolgsquote von 100 Prozent. Microsoft hat zwar im Juni 2026 andere Defender-Lücken geschlossen – darunter GreenPlasma, MiniPlasma und YellowKey. Ob RoguePlanet bereits in freier Wildbahn eingesetzt wird, ließ der Konzern bislang offen.
Weitere Gefahren: Hintertür „Mistic“ und NTLM-Lücke
Die Bedrohungslage für Windows-Systeme hat sich in den letzten Monaten weiter verschärft. Seit April 2026 ist ein neuer Backdoor namens „Mistic“ aktiv. Er zielt gezielt auf die Branchen professionelle Dienstleistungen, IT, Bildung und Versicherungen. Die Schadsoftware wird der Gruppe Woodgnat zugeschrieben. Sie nutzt DLL-Sideloading und führt Schadcode direkt im Arbeitsspeicher aus – klassische Virenscanner haben so kaum eine Chance. Gleichzeitig stiehlt sie Zugangsdaten über täuschend echte Anmeldefenster.
Ebenfalls am 30. Juni wurde ein Proof-of-Concept für eine neue NTLM-Reflection-Lücke veröffentlicht (CVE-2026-24294). Sie betrifft Windows Server 2025 und erlaubt Angreifern SYSTEM-Zugriff – durch Ausnutzung der SMB-Custom-Port-Funktion und Session-Reuse. Branchenanalysten weisen darauf hin, dass Windows 11 Version 24H2 durch standardmäßiges SMB-Signing weniger anfällig ist. Frühere Schutzmaßnahmen gegen NTLM-Reflection werden durch den Exploit jedoch umgangen.
Nicht nur RoguePlanet, sondern auch die Mistic-Backdoor und eine neue NTLM-Lücke bedrohen Windows-Systeme. Unser Notfallplan zeigt, wie Sie diese Angriffe erkennen und Ihre Defender-Konfiguration anpassen – bevor Ransomware-Gruppen zuschlagen. Notfallplan für IT-Sicherheit jetzt sichern
BYOVD: Immer mehr Angreifer setzen auf Treiber-Schwachstellen
Sicherheitsfirmen beobachten zudem einen Anstieg der sogenannten „Bring Your Own Vulnerable Driver“-Technik (BYOVD). Wie ein Bericht von Symantec zeigt, laden Angreifer gezielt legitime, aber fehlerhafte Kernel-Treiber, um Sicherheitssoftware zu deaktivieren. Diese Methode wird inzwischen standardmäßig in Ransomware-as-a-Service-Angeboten gebündelt.
