BlueHammer, RedSun & UnDefend: Drei Microsoft-Defender-Zero-Days – Was du jetzt tun musst

Microsoft Defender ist das Herzstück der Windows-Sicherheit – doch seit Mitte April 2026 steht es unter massivem Beschuss. Ein Sicherheitsforscher unter dem Pseudonym „Chaotic Eclipse“ veröffentlichte innerhalb von nur 13 Tagen drei Zero-Day-Exploits, die alle aktiv in freier Wildbahn ausgenutzt werden: BlueHammer, RedSun und UnDefend. Die gute Nachricht: BlueHammer wurde bereits gepatcht. Die schlechte: RedSun und UnDefend sind noch offen.

Dieser Artikel erklärt, was hinter den drei Microsoft Defender Zero-Days 2026 steckt, welche Systeme betroffen sind und welche Schritte du jetzt unternehmen solltest.

Microsoft Defender Zero Day 2026: Was sind BlueHammer, RedSun und UnDefend?

Alle drei Lücken greifen unterschiedliche Teile von Microsoft Defender an und ermöglichen lokale Privilegien-Eskalation oder die Schwächung des Schutzmechanismus.

BlueHammer (CVE-2026-33825) – Bereits gepatcht

BlueHammer wurde am 7. April 2026 öffentlich bekannt gemacht. Die Schwachstelle steckt im Threat-Remediation-Modul von Defender: Durch eine TOCTOU-Race-Condition (Time-of-Check to Time-of-Use) können unprivilegierte Benutzer SYSTEM-Rechte erlangen – selbst auf vollständig gepatchten Windows-10- und Windows-11-Systemen.

• CVE: CVE-2026-33825 (CVSS 7.8)
• Typ: Lokale Privilegien-Eskalation
• Exploitation begann: 10. April 2026
• Gepatcht: 14. April 2026 (Patch Tuesday)
• Fix-Version: Microsoft Defender Antimalware Platform 4.18.26030.3011

Was tun: Sicherstellen, dass Windows Update aktiv ist. Die gepatchte Defender-Version wird automatisch über Windows Update verteilt. Alternativ: Windows-Sicherheit → Viren- & Bedrohungsschutz → Schutzupdates → Updates jetzt suchen.

RedSun – Noch ungepatcht (Stand: April 2026)

RedSun ist ebenfalls eine lokale Privilegien-Eskalation, für die Microsoft bislang keinen Patch veröffentlicht hat. Der Angriff kombiniert legitime Windows-Features – die Cloud Files API, opportunistische Sperren (Oplocks), Volume Shadow Copies und Directory Junctions –, um den SYSTEM-Prozess von Defender dazu zu bringen, geschützte Systemdateien zu überschreiben und angreifer-kontrollierten Code auszuführen.

So funktioniert die Angriffskette technisch im Detail:

1. Cloud Files API: Windows nutzt diese API für die Verwaltung cloud-synchronisierter Dateien (z.B. OneDrive). Defenders SYSTEM-Prozess verarbeitet solche Dateien bei Scans und Remediation-Aktionen.
2. Oplocks (Opportunistic Locks): Der Angreifer registriert einen Oplock auf eine Zieldatei. Wenn Defenders SYSTEM-Prozess diese Datei öffnen will, feuert der Oplock und friert die Operation kurzzeitig ein – die perfekte Race-Window.
3. Directory Junctions: Während der Operation eingefroren ist, tauscht der Angreifer blitzschnell einen NTFS-Junction-Point aus. Dieser leitet den ursprünglichen Pfad auf ein angreifer-kontrolliertes Verzeichnis um.
4. Ergebnis: Defenders SYSTEM-Prozess schreibt unter SYSTEM-Privilegien in das angreifer-kontrollierte Verzeichnis – was zur Ausführung von beliebigem Code mit höchsten Rechten führt.

Diese Angriffstechnik ist eine verfeinerte TOCTOU-Variante. Besonders tückisch: Alle genutzten Windows-Features (Cloud Files API, Oplocks, Directory Junctions) sind legitime Systemkomponenten, die für Whitelisting-basierte Lösungen schwer zu blockieren sind.

• Typ: Lokale Privilegien-Eskalation
• Status: Ungepatcht
• Aktive Exploitation seit: 16. April 2026

Was tun: Bis ein offizieller Patch verfügbar ist, solltest du das Prinzip der minimalen Rechte konsequent einhalten und keine Admin-Konten für alltägliche Aufgaben verwenden. Endpoint-Detection-Lösungen können verdächtige Privilege-Escalation-Versuche erkennen.

UnDefend – Noch ungepatcht (Stand: April 2026)

UnDefend ist vielleicht die heimtückischste der drei Lücken: Sie erlaubt es einem lokalen Nutzer, die Definition-Updates von Defender zu blockieren oder zu unterbrechen. Dadurch veraltet die Malware-Signaturdatenbank schleichend – und Defender erkennt neue Bedrohungen irgendwann nicht mehr.

Was passiert konkret, wenn UnDefend aktiv ausgenutzt wird? Die Signatur-Dateien von Defender (u.a. mpas.fe und die NIS-Engine-Komponenten) werden nicht mehr aktualisiert. Das System zeigt weiterhin den grünen Schutz-Status an – tatsächlich hinkt die Signaturdatenbank aber Stunden, Tage oder sogar Wochen hinterher. Neue Malware-Varianten, Ransomware und Exploits passieren Defender unbemerkt.

So erkennst du UnDefend-Aktivität im Ereignisprotokoll:

1. Öffne die Ereignisanzeige (Win+R → eventvwr.msc)
2. Navigiere zu: Anwendungs- und Dienstprotokolle → Microsoft → Windows → Windows Defender → Betrieb
3. Achte auf folgende kritische Ereignis-IDs:
   • Event ID 2001: Defender-Antivirus-Definitionsaktualisierung fehlgeschlagen
   • Event ID 2003: Defender-Antispyware-Engine-Update fehlgeschlagen
   • Event ID 5008: Unerwartetes Verhalten beim Update-Prozess
4. Mehrere aufeinanderfolgende Fehler dieser IDs sind ein starker Hinweis auf aktive Ausnutzung von UnDefend.

• Typ: Defender-Update-Sabotage
• Status: Ungepatcht
• Aktive Exploitation seit: 16. April 2026

Was tun: Regelmäßig prüfen, ob Defender-Updates tatsächlich eingespielt werden. Das geht über Windows-Sicherheit → Viren- & Bedrohungsschutz → Viren- & Bedrohungsschutz-Updates. Wenn Updates ausbleiben oder das Datum der letzten Aktualisierung ungewöhnlich weit zurückliegt, solltest du die oben genannten Event-IDs im Ereignisprotokoll prüfen.

Patch Tuesday April 2026: Was Microsoft gepatcht hat

Im April 2026 hat Microsoft insgesamt 167 Sicherheitslücken geschlossen, darunter acht als „Critical“ eingestufte. Neben BlueHammer wurde auch eine aktiv ausgenutzte SharePoint-Lücke (CVE-2026-32201) gepatcht, die die US-Behörde CISA bereits in ihren Known-Exploited-Vulnerabilities-Katalog aufgenommen hat.

RedSun und UnDefend wurden im regulären Patch Tuesday nicht berücksichtigt – Microsoft arbeitet nach eigenen Angaben an Fixes.

Checkliste für Windows-Nutzer und Homelab-Admins

Das solltest du sofort tun:

1. Windows Update ausführen – alle April-2026-Patches installieren lassen
2. Defender-Version prüfen – mindestens Version 4.18.26030.3011 (Antimalware Platform)
3. Defender-Updates verifizieren – prüfen, ob Signaturen aktuell sind (mögliche UnDefend-Anzeichen)
4. Ereignisprotokoll prüfen – auf Event IDs 2001, 2003 und 5008 im Windows-Defender-Betriebsprotokoll achten
5. Minimale Rechte einhalten – Admin-Konten nicht für tägliche Arbeit nutzen
6. Ereignisprotokoll überwachen – auf ungewöhnliche Privilege-Escalation-Ereignisse achten
7. Updates im Auge behalten – RedSun- und UnDefend-Patches werden zeitnah erwartet

Empfohlene Sicherheitstools für Windows-Nutzer

Solange RedSun und UnDefend ungepatcht sind, kannst du deine Sicherheitslage mit diesen ergänzenden Tools stärken:

🔔 Empfehlung: VPN-Schutz während Windows-Sicherheitslücken offen sind → NordVPN

Fazit

Drei Zero-Days in Microsoft Defender innerhalb von zwei Wochen zeigen deutlich: Sicherheitssoftware ist kein Allheilmittel und selbst Teil der Angriffsfläche. Sobald PoC-Code öffentlich ist, dauert es oft nur Tage bis zur aktiven Ausnutzung – wie BlueHammer beweist.

Für alle Windows-Nutzer gilt jetzt: Updates sofort einspielen, Defender-Version prüfen, Rechte minimieren. Lapalutschi.de berichtet, sobald Microsoft Patches für RedSun und UnDefend veröffentlicht.