Cybersecurity

BlueHammer (CVE-2026-33825): Die Microsoft-Defender-Lücke, die jetzt für Ransomware genutzt wird

Die CISA hat BlueHammer (CVE-2026-33825), eine Schwachstelle zur Rechteausweitung in Microsoft Defender, als bei Ransomware-Angriffen ausgenutzt eingestuft. Hier erfahren Sie, was die Lücke bewirkt, ob Sie gepatcht sind und warum das Patchen allein sie nicht vollständig schließt.

Waqas Ahmed Waseer
Waqas Ahmed Waseer 8. Juli 2026 8 Min. Lesezeit
BlueHammer (CVE-2026-33825): Die Microsoft-Defender-Lücke, die jetzt für Ransomware genutzt wird

Die CISA hat ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities) aktualisiert und BlueHammer, geführt als CVE-2026-33825, als nunmehr in Ransomware-Kampagnen eingesetzt gekennzeichnet. Es handelt sich um eine lokale Schwachstelle zur Rechteausweitung in Microsoft Defender selbst: Ein Angreifer, der bereits auf einem Windows-Rechner Fuß gefasst hat, kann Defenders eigene Logik zur Dateibereinigung missbrauchen, um von einem normalen Benutzer zu SYSTEM aufzusteigen. Wenn Ihr Windows-Bestand die Patches vom April 2026 eingespielt hat, sind Sie gegen genau diesen Fehler geschützt – doch die Geschichte ist verworrener als ein einzelnes CVE, und die Gegenmaßnahme lautet nicht einfach nur "patchen und vergessen".

Der unbehagliche Teil ist, wo die Lücke sitzt. BlueHammer verwandelt das Werkzeug, das den Endpunkt eigentlich schützen soll, in genau den Mechanismus, der den Endpunkt aus der Hand gibt. Für Verteidiger kehrt das eine übliche Annahme um: Der als SYSTEM laufende Antivirus-Prozess wird zur Leiter, die ein Angreifer erklimmt, statt zu dem, was ihn aufhält.

Was ist die BlueHammer-Schwachstelle?

BlueHammer ist eine lokale Schwachstelle zur Rechteausweitung (Local Privilege Escalation, LPE) in Microsoft Defender Antivirus, die als CVE-2026-33825 mit einem CVSS-Wert von 7.8 geführt wird. Es ist kein Remote-Exploit; ein Angreifer muss auf dem Rechner bereits Code als Benutzer mit geringen Rechten ausführen. Was ihm die Lücke einbringt, ist der Hauptgewinn auf einem einzelnen Host: die Kontrolle auf SYSTEM-Ebene.

Der Mechanismus ist eine Time-of-Check-to-Time-of-Use-Race-Condition (TOCTOU) im Bereinigungsablauf von Defender. Wie die technische Analyse von Picus Security beschreibt, platziert der Exploit eine Datei, die eine Defender-Erkennung auslöst, nutzt einen Batch-oplock, um Defender mitten im Vorgang einzufrieren, und tauscht dann eine NTFS-Junction unter dem Zielpfad aus – sodass der Schreibvorgang dort landet, wo der Angreifer es will, sobald Defender fortfährt und mit seinen SYSTEM-Rechten schreibt. In der Praxis dient das dazu, an die SAM-Registry-Struktur zu gelangen und NTLM-Passwort-Hashes auszulesen, was eine Pass-the-Hash-Übernahme lokaler Administratorkonten ermöglicht. Kein Kernel-Exploit, keine Speicherkorruption – nur Defenders eigene privilegierte Dateibehandlung, gegen ihn selbst gerichtet.

Die Einstufung mit 7.8 (Hoch) statt Kritisch spiegelt wider, dass lokaler Zugriff eine Voraussetzung ist. Doch die Rechteausweitung ist genau der Schritt, den Ransomware-Banden nach einem anfänglichen Phishing oder gestohlenen Zugangsdaten brauchen – weshalb die Ransomware-Kennzeichnung der CISA mehr wiegt, als der Basiswert nahelegt.

Warum das jetzt Thema ist

BlueHammer kam nicht über den üblichen Weg der koordinierten Offenlegung ans Licht. Anfang April 2026 leakte ein Forscher unter dem Namen "Nightmare Eclipse" die Lücke samt funktionierendem Proof-of-Concept-Exploit-Code, angeblich aus Protest darüber, wie das Microsoft Security Response Center mit Offenlegungen umgeht. Damit wurde es zu einem echten Zero-Day: Ein öffentlicher, waffenfähiger Exploit existierte, bevor es einen Fix gab.

Der zeitliche Ablauf seither:

Datum (2026)Ereignis
Anfang April"Nightmare Eclipse" leakt die Lücke + PoC-Exploit-Code öffentlich
14. AprilMicrosoft liefert den Fix am Patch Tuesday als CVE-2026-33825 aus
22. AprilCISA nimmt CVE-2026-33825 in den Katalog bekannter ausgenutzter Schwachstellen auf
Anfang MaiFrist zur Behebung für Bundesbehörden (FCEB) gemäß der Zwei-Wochen-KEV-Regel
Ende JuniCISA aktualisiert den KEV-Eintrag und kennzeichnet die Lücke als bei Ransomware genutzt

Die Aktualisierung von Ende Juni ist die neue Entwicklung. Die CISA hat CVE-2026-33825 in ihrem Katalog nun als "bekanntermaßen in Ransomware-Kampagnen genutzt" markiert. Bemerkenswert: Microsofts eigenes Advisory bestätigt eine Ausnutzung in freier Wildbahn nach wie vor nicht und stuft die Lücke als "Exploitation More Likely" statt "Detected" ein – es klafft also eine Lücke zwischen dem, was die CISA operativ beobachtet, und dem, was der Hersteller formell bezeugen will. Eine bestimmte Ransomware-Gruppe wurde bislang öffentlich nicht genannt.

Sind Sie betroffen? So prüfen Sie es

BlueHammer betrifft Microsoft Defender Antivirus auf allen unterstützten Windows-Desktop- und -Server-Builds – Windows 10, Windows 11 sowie Windows Server 2016, 2019, 2022 und 2025 – auf jedem System, das die Defender-Plattform von vor dem Update im April 2026 einsetzt. Praktische Prüfungen für Administratoren:

  • Bestätigen Sie, dass das kumulative Update von April 2026 (oder später) installiert ist. Der Defender-spezifische Fix kam mit dem Patch Tuesday vom 14. April. Ein Bestand, der bei den monatlichen Patches auf dem aktuellen Stand ist, ist gegen CVE-2026-33825 im Speziellen geschützt.
  • Prüfen Sie die Version der Defender-Plattform, nicht nur den OS-Build. Defenders Antimalware-Plattform und -Engine werden außerhalb des Windows-Rhythmus aktualisiert. Get-MpComputerStatus in PowerShell zeigt AMProductVersion und AMEngineVersion an; stellen Sie sicher, dass sie einen Stand nach April 2026 widerspiegeln.
  • Priorisieren Sie Rechner, auf denen Benutzer ohne Rechte, aber lokal arbeiten. LPE ist nur dort relevant, wo ein Angreifer bereits Code als normaler Benutzer ausführen kann – gemeinsam genutzte Arbeitsplätze, RDP-/VDI-Hosts und Entwicklerrechner sind hier die lohnendsten Ziele.
  • Gleichen Sie die KEV-Frist ab, wenn Sie eine Bundesbehörde oder vertraglich gebundene Organisation sind. Die BOD-22-01-Uhr lief bei dieser Lücke bereits Anfang Mai ab; ein ungepatchter Host ist jetzt sowohl ein Sicherheits- als auch ein Compliance-Problem.

Wenn Sie den Patch-Status im gesamten Bestand nicht rasch bestätigen können, lohnt es sich, diese Lücke noch diese Woche zu schließen. Dieselbe Disziplin gilt jeden Monat – unser Bericht zum Patch Tuesday im Juni 2026 und seinen sechs Zero-Days ist eine Erinnerung daran, wie schnell sich die Liste der in freier Wildbahn ausgenutzten Lücken erneuert.

Der Haken: Das Patchen von BlueHammer schließt nicht das ganze Loch

Hier kommt das Detail, das die meiste Berichterstattung zu einem einzelnen CVE auslässt. BlueHammer kam mit Geschwistern. Sicherheitsforscher dokumentierten zwei eng verwandte Defender-Missbrauchstechniken – RedSun und UnDefend – die daneben in freier Wildbahn genutzt werden, und sie sterben nicht alle mit dem April-Patch.

  • RedSun nutzt dieselbe Trickfamilie (Cloud Files API, oplocks, Verzeichnis-Junctions), zielt aber auf einen anderen Dienst ab, TieringEngineService.exe, und ködert Defenders Echtzeit-Engine mit einer eingebetteten EICAR-Testzeichenkette, um einen Bereinigungszyklus auszulösen, den es anschließend umleitet. Entscheidend ist: RedSun soll Berichten zufolge auch auf vollständig gepatchtem Windows 10, 11 und Server 2019+ nach den April-Updates weiterhin funktionieren.
  • UnDefend ist überhaupt kein Exploit zur Rechteausweitung. Es verschlechtert schrittweise die Erkennungsgenauigkeit von Defender, indem es dessen Mechanismus für Definitionsupdates stört – ein leiser Post-Exploitation-Schritt, um den Endpunkt vor der nächsten Stufe zu blenden.

Die Erkenntnis: Das Patchen von CVE-2026-33825 ist notwendig, aber nicht hinreichend. Das zugrunde liegende Muster – der Missbrauch der Dateioperationen eines mit SYSTEM-Rechten laufenden Sicherheitsagenten über Junctions und oplocks – ist eine ganze Technikklasse, und diese Klasse ist nicht vollständig gepatcht. Das ist das Argument für eine verhaltensbasierte Erkennung zusätzlich zum Patchen.

Was Sie tatsächlich tun sollten

Zuerst patchen, dann eine Erkennung für die Technik statt für die einzelne Signatur ergänzen. Ausgehend von den verhaltensbasierten Indikatoren, die Forscher veröffentlicht haben, sollten Sie Ihr EDR/SIEM auf Folgendes überwachen:

  • Unerwartete Schreibvorgänge auf SYSTEM-Ebene in benutzerschreibbare Verzeichnisse, insbesondere nach Dateioperationen, die Defender zugeschrieben werden.
  • Erstellung von NTFS-Junctions / Verzeichnis-Reparse-Points durch Nicht-Admin-Prozesse in Pfaden, die Defender bereinigt.
  • Unterdrückung von Defender-Updates oder plötzliche Einbrüche bei der Aktualität der Definitionen über die Endpunkte hinweg – ein möglicher UnDefend-Fußabdruck.
  • Klassische Aufklärung vor der Ausweitung wie whoami /priv aus Sitzungen ohne Rechte unmittelbar vor Defender-bezogener Aktivität.

Weil der ganze Sinn dieser Fehlerklasse darin besteht, dass der Angreifer bereits lokal Fuß gefasst hat, untermauert sie zudem das Argument, das zu reduzieren, was ein einzelner kompromittierter Endpunkt erreichen kann. Netzwerksegmentierung und identitätszentrierte Zugriffskontrollen begrenzen den Wirkungsradius einer SYSTEM-Übernahme – dieselbe Logik, die hinter der Abkehr von flachen Netzwerken steht, die wir in Zero Trust vs VPN im Jahr 2026 behandelt haben. Und falls Ihnen das bekannt vorkommt: Es hat dieselbe Form wie andere lokale Root-Lücken aus 2026 wie die Bad Epoll Linux-Kernel-Lücke – der Perimeter hält, aber der Rechner, auf dem Angreifercode läuft, ist nur ein Primitiv von der vollständigen Kontrolle entfernt.

Häufig gestellte Fragen

Was ist CVE-2026-33825 (BlueHammer)?

Es ist eine lokale Schwachstelle zur Rechteausweitung in Microsoft Defender Antivirus, CVSS 7.8. Durch den Missbrauch einer TOCTOU-Race in Defenders Logik zur Dateibereinigung (unter Verwendung von oplocks und NTFS-Junctions) kann ein Angreifer mit geringen Rechten Defenders Schreibvorgänge auf SYSTEM-Ebene umleiten und zu SYSTEM aufsteigen, um letztlich NTLM-Hashes aus der SAM-Datenbank auszulesen.

Wird BlueHammer bei Ransomware-Angriffen ausgenutzt?

Die CISA hat ihren Katalog bekannter ausgenutzter Schwachstellen aktualisiert und CVE-2026-33825 als in Ransomware-Kampagnen genutzt markiert. Microsofts Advisory hat eine Ausnutzung in freier Wildbahn nicht formell bestätigt und stuft sie als "Exploitation More Likely" ein. Eine bestimmte Ransomware-Gruppe wurde öffentlich nicht genannt.

Gibt es einen Patch für BlueHammer?

Ja. Microsoft hat CVE-2026-33825 im Patch Tuesday vom 14. April 2026 behoben. Jedes Windows-System auf der Defender-Plattform von April 2026 oder später ist gegen dieses spezielle CVE geschützt. Bestätigen Sie sowohl das kumulative OS-Update als auch die Version der Defender-Antimalware-Plattform.

Schützt mich das Patchen vollständig vor diesen Defender-Angriffen?

Nicht ganz. Verwandte Techniken, die neben BlueHammer dokumentiert wurden – insbesondere RedSun – sollen Berichten zufolge auch auf vollständig gepatchten Systemen weiterhin funktionieren, und UnDefend verschlechtert Defenders Erkennung, statt Rechte auszuweiten. Patchen Sie, und ergänzen Sie dann eine verhaltensbasierte Erkennung für Junction-/oplock-Missbrauch und unerwartete SYSTEM-Schreibvorgänge.

Wer ist von CVE-2026-33825 betroffen?

Microsoft Defender Antivirus auf Windows 10, Windows 11 sowie Windows Server 2016, 2019, 2022 und 2025, auf jedem Host, der eine Defender-Plattform von vor April 2026 einsetzt. Da lokale Codeausführung erforderlich ist, sind gemeinsam genutzte Arbeitsplätze, RDP-/VDI-Hosts und Entwicklerrechner die Ziele mit der höchsten Priorität.

Quellen

Waqas Ahmed Waseer

Waqas Ahmed Waseer

Waqas Ahmed Waseer ist Entwickler und Automation-Builder mit über 8 Jahren Erfahrung im Aufbau von Produktivsystemen, die von mehr als 100.000 Menschen genutzt werden. Er baut individuelle Multi-Tenant-SaaS, KI-Automatisierung (n8n, LLM-Workflows, WhatsApp-Bots) und Hosting-Infrastruktur (WHM/cPanel, CloudLinux) — und ist der Macher von WaSphere, FlowMaticX und der Hosting-Marke WaseerHost. Über 100 Projekte für KMU, Agenturen und finanzierte Start-ups umgesetzt.

Ähnliche Beiträge

Mehr in Cybersecurity

Alle ansehen

Diskussion · 0

Bleib fair. Kommentare sind öffentlich.

    Newsletter · Montagsausgabe

    Der Montagsbrief.

    Eine E-Mail jeden Montagmorgen. Die kommende Woche in KI, Startups, Hosting und Dev-Tools — ohne Schnickschnack, ohne gesponserten Köder.

    Kostenlos. Abmeldung mit einem Klick.