C
Security

Der Schutz wird zur Lücke: Aktive Angriffe auf Microsoft Defender

Zwei Schwachstellen in Microsoft Defender werden aktuell aktiv ausgenutzt. Die US-Behörde CISA reagiert mit strengen Fristen – und warnt zudem vor Jahrzehnte alten Lücken.

CR
Codekiste Redaktion21. Mai 2026
#Security#Microsoft#Vulnerability#CISA#Defender

Wenn der Schutz zur Angriffsfläche wird

Es ist ein klassisches Paradoxon der IT-Sicherheit: Die Software, die uns schützen soll, wird selbst zur Schwachstelle. Genau dieses Szenario spielt sich aktuell bei Microsoft Defender ab. Wie das Unternehmen bestätigt hat, werden zwei Sicherheitslücken in der hauseigenen Antivirenlösung aktiv im Wild exploitet. Die US-Sicherheitsbehörde CISA reagiert bereits und hat die Lücken in ihren Known Exploited Vulnerabilities (KEV) Catalog aufgenommen.

Dass ausgerechnet der Defender ins Visier von Angreifern gerät, ist wenig überraschend – wohl aber die Art und Weise. Microsoft Defender ist auf nahezu jedem modernen Windows-System vorinstalliert und läuft mit höchsten Privilegien. Wer hier eine Lücke findet, hat quasi den Schlüssel zum gesamten System.

Die Details zu den Schwachstellen

Im Fokus stehen zwei Schwachstellen, die unterschiedlicher kaum sein könnten, aber in Kombination verheerend sein können:

CVE-2026-41091 (CVSS 7.8): Hierbei handelt es sich um eine Privilege Escalation-Lücke. Sie ermöglicht es einem Angreifer, der bereits lokalen Zugriff auf ein System hat, seine Rechte bis auf die höchste Ebene – SYSTEM – auszuweiten. Auslöser ist ein Fehler namens „Improper link resolution before file access“, vereinfacht ein Link-Following-Problem. Angreifer können diesen Fehler ausnutzen, um bösartige Dateien mit den Rechten des Defender-Moduls auszuführen. Wer SYSTEM-Rechte erlangt, kontrolliert den Rechner komplett.

CVE-2026-45498 (CVSS 4.0): Die zweite Lücke ist ein Denial-of-Service (DoS)-Bug. Zwar ist der Schweregrad mit 4.0 auf der CVSS-Skala eher moderat, doch in der Praxis kann ein lahmgelegter Schutzschild fatale Folgen haben. Wenn Defender ausfällt, ist der Weg frei für sekundäre Malware-Infektionen.

Entdeckt wurden die Lücken von fünf unterschiedlichen Forschern und Gruppen, darunter Sibusiso, Diffract, Andrew C. Dorman (aka ACD421), Damir Moldovanov sowie einem anonymen Forscher. Dass sich hier mehrere unabhängige Parteien mit dem Defender beschäftigen, zeigt, wie attraktiv das Ziel ist.

Automatischer Fix – aber bitte nachsehen!

Die gute Nachricht vorweg: Microsoft hat die Patches bereits mit den Defender-Versionen 1.1.26040.8 (für die Engine) und 4.18.26040.7 (für die Plattform) ausgerollt. Da Defender sich in der Regel automatisch über die Malware-Definitionen und die Engine aktualisiert, ist in den meisten Systemen kein manuelles Eingreifen nötig. Wer Defender deaktiviert hat, ist laut Microsoft ohnehin nicht anfällig – was allerdings bedeutet, auf den Schutz komplett zu verzichten.

Trotz des automatischen Prozesses raten Sicherheitsexperten zur Vorsicht. Gerade in Unternehmensumgebungen können Update-Prozesse verzögert oder durch GPOs blockiert sein. Administratoren sollten den Update-Stand manuell verifizieren:

  1. Windows Security öffnen
  2. Im Navigationsbereich „Virus & threat protection“ auswählen
  3. Unter „Virus & threat protection updates“ auf „Protection Updates“ klicken
  4. „Check for updates“ wählen
  5. Unter „Settings“ > „About“ die Antimalware ClientVersion prüfen

CISA schlägt Alarm – und gräbt alte Leichen aus

Besonders brisant ist die Reaktion der US-Behörde CISA. Beide Defender-Lücken wurden in den KEV-Katalog aufgenommen. Federal Civilian Executive Branch (FCEB) Agencies haben bis zum 3. Juni 2026 Zeit, die Patches anzuwenden. Dass CISA hier die Daumenschrauben ansetzt, unterstreicht die Dringlichkeit.

Zugleich nutzte die Behörde den Zeitpunkt, um eine ganze Reihe von „Zombie-Schwachstellen“ in den Katalog aufzunehmen, die teilweise über 15 Jahre alt sind. Darunter finden sich True-Crime-Klassiker der IT-Sicherheit wie:

  • CVE-2008-4250: Eine Buffer Overflow-Lücke im Windows Server Service. Wer sich an die Würmer der späten 2000er erinnert, weiß, wie verheerend dieser Bug damals war.
  • CVE-2009-1537 und CVE-2010-0806 / -0249: Use-After-Free- und Null-Byte-Overwrite-Bugs im Internet Explorer und DirectX.
  • CVE-2009-3459: Eine Heap-based Buffer Overflow-Lücke in Adobe Acrobat und Reader.

Dass CISA diese antiken Lücken jetzt in den KEV-Katalog aufnimmt, hat einen einfachen Grund: Sie werden immer noch aktiv genutzt. Es ist ein erschütterndes Zeugnis für den Zustand vieler IT-Infrastrukturen, in denen ungepatchte Legacy-Systeme ein gefundenes Fressen für Angreifer darstellen.

Fazit: Der Schutzschild braucht einen Schutzschild

Die aktuellen Vorfälle rund um Microsoft Defender machen eines deutlich: Keine Software ist vor Fehlern sicher. Gerade Sicherheitssoftware, die tief im Betriebssystem verankert ist und mit hohen Privilegien läuft, ist ein attraktives Angriffsziel. Eine Privilege Escalation im Defender wiegt schwerer als ein ähnlicher Fehler in einer gewöhnlichen Applikation.

Für Administratoren heißt es: Augen offenhalten. Das automatische Update von Defender ist ein Komfortfeature, kein Garant. Ein kurzer Blick auf die Versionsnummer kann den Unterschied zwischen einem sicheren System und einer kompromittierten Infrastruktur machen. Und was die Jahrzehnte alten Lücken angeht: Wenn Bugs von 2008 heute noch relevant genug für den KEV-Katalog sind, ist das weniger ein technisches Problem als vielmehr ein strukturelles Versagen im Patch-Management.

Quelle: The Hacker News

QUELLEN
The Hacker News
Pro-Feature

Melde dich an und werde Pro-Mitglied, um dieses Feature zu nutzen.

Anmelden
CR
Codekiste Redaktion

Automatisierte Content-Kuratierung für tech-news.

Kommentare

WEITERLESEN
Security

ChatGPhish: Wenn ChatGPT selbst zur Phishing-Falle wird

Security

KI als Hacker: LLM-Agent nutzt Marimo-Lücke für Daten-Exfiltration

Security

KI als Tatwaffe: Wie GREYVIBE die Ukraine attackiert