Eine kritische Windows-Defender-Sicherheitslücke bedroht aktuell die IT-Infrastruktur kleiner Unternehmen. Angreifer nutzen Zero-Day-Exploits aktiv aus, um lokale Berechtigungen zu erweitern und Systeme vollständig zu übernehmen.
Erfahren Sie bei uns, welche Maßnahmen Sie jetzt ergreifen müssen und warum ein aktueller Virenschutz für Ihren Betrieb unverzichtbar ist.
Unser Beitrag über die Windows-Defender-Sicherheitslücke im Überblick:
Risiko: Windows-Defender-Sicherheitslücke
Viele vor allem kleine Unternehmen vertrauen beim Schutz ihrer IT-Infrastruktur häufig auf integrierte Lösungen wie den Windows-Defender in der Microsoft-Welt. Die aktuelle Windows-Defender-Sicherheitslücke zeigt jedoch, dass auch etablierte Programme Schwachstellen aufweisen. Sicherheitsforscher identifizierten im April 2026 mehrere Zero-Day-Exploits, die den Microsoft Defender direkt angreifen.
Besonders kritisch ist die Schwachstelle CVE-2026-33825. Diese Lücke resultiert aus einer unzureichenden Prüfung von Zugriffsberechtigungen innerhalb der Antimalware-Plattform. Da Angreifer diese Fehler bereits aktiv ausnutzen, stuft die US-Sicherheitsbehörde CISA die Bedrohung als hoch ein. Für Betriebe, die auf den Microsoft Defender setzen, bedeutet dies ein konkretes Risiko für die Datensicherheit.
Microsoft hat bereits reagiert und eine entsprechende Aktualisierung bereitgestellt. In der Version 4.18.26030.3011 der Microsoft Defender-Antischadsoftwareplattform ist das Sicherheitsrisiko behoben. Nutzer sollten zeitnah prüfen, ob diese oder eine neuere Version auf ihren Systemen aktiv ist. Ist das nicht der Fall, sollte unbedingt manuell das Update eingespielt werden.
Microsoft hat mittlerweile ein Update bereitgestellt. Wer es noch nicht installiert hat, sollte es dringend nachholen. Bild: stock.asdobe.com/weissdesign
LPE: Angreifer werden zum Administrator
Das Hauptrisiko der aktuellen Windows-Defender-Sicherheitslücke liegt in der sogenannten Local Privilege Escalation (LPE). Dabei verschafft sich ein autorisierter Angreifer lokal auf einem System höhere Berechtigungen, als ihm eigentlich zustehen. Im schlimmsten Fall erlangt der Akteur Systemrechte.
Mit diesen umfassenden Rechten können kriminelle Angreifer wichtige Schutzmechanismen deaktivieren und tiefe Eingriffe in das Betriebssystem vornehmen. Das bedeutet, dass Schadsoftware unbemerkt installiert wird, während der eigentliche Virenschutz manipuliert ist. Angreifer sind so in der Lage, das gesamte System vollständig zu übernehmen und sensible Unternehmensdaten abzugreifen. Durch die Manipulation administrativer Funktionen können die Hintermänner zudem dauerhafte Zugänge einrichten, die selbst nach einem Neustart des Rechners bestehen bleiben.
Exploits RedSun und UnDefend im Fokus
Sicherheitsforscher beobachten derzeit drei konkrete Angriffsmethoden, die auf die Windows-Defender-Sicherheitslücke abzielen. Die Exploits tragen die Bezeichnungen RedSun, UnDefend und BlueHammer.
Während BlueHammer bereits kurz nach seinem Bekanntwerden durch Microsoft geschlossen wurde, stellen RedSun und UnDefend eine fortlaufende Bedrohung dar.
- Der Exploit RedSun nutzt eine Funktion zur Schadensbehebung aus, um bösartige Dateien direkt in geschützte Systemordner zu schreiben. Angreifer tarnen diese Dateien als harmlose Cloud-Inhalte, wodurch der herkömmliche Virenschutz umgangen wird. Diese gezielte Manipulation führt dazu, dass selbst Sicherheitsmechanismen wie der Echtzeitschutz die Installation von Ransomware nicht zuverlässig verhindern.
- UnDefend manipuliert die Prozesse des Defenders so, dass bösartige Aktivitäten nicht mehr als solche erkannt werden. Während ein herkömmlicher Angriff oft am Echtzeitschutz scheitert, setzt dieser Exploit direkt an der Steuerungslogik der Sicherheitssoftware an. Dieser Angriff ist besonders tückisch, da das System nach außen hin oft noch vorgibt, geschützt zu sein (grünes Häkchen), während die Sicherheits-Engine im Hintergrund bereits durch UnDefend manipuliert wurde.
Für Unternehmen ist es daher entscheidend, nicht nur auf automatische Prozesse zu vertrauen, sondern die Integrität ihrer Systeme regelmäßig zu prüfen. Auch das Update auf die Version 4.18.26030.3011 ist zwingend erforderlich, da Microsoft damit die Lücke schließt.
Drei Angriffsmethoden durch Hacker sind bekannt, Schutz bietet das Update. Bild: stock.adobe.com/DC Studio
Defender-Update prüfen
Viele Betriebe nutzen Vulnerability-Scanner, um die Sicherheit ihrer IT-Infrastruktur zu bewerten. Aktuell melden diese Tools die Windows-Defender-Sicherheitslücke oft auch dann, wenn der Dienst deaktiviert ist. Dies liegt daran, dass Scanner lediglich die Versionen der Binärdateien auf der Festplatte prüfen. Laut Microsoft besteht bei inaktivem Defender jedoch keine unmittelbare Gefahr durch diese spezifische Schwachstelle.
Um sicherzugehen, sollten Sie die installierte Version manuell verifizieren. Öffnen Sie hierzu die Windows-Sicherheit und navigieren Sie über den „Virus- & Bedrohungsschutz“ zu den „Schutzupdates“. In den Einstellungen unter dem Punkt „Info“ finden Sie die Angabe zur AMProductVersion. Sofern dort die Version 4.18.26030.3011 oder eine höhere Nummer erscheint, ist Ihr System gegen die bekannten Zero-Day-Exploits geschützt.
Schwachstelle in Entra ID ergänzt Risiko
Zusätzlich zur Windows-Defender-Sicherheitslücke müssen Unternehmen eine weitere Schwachstelle beachten, die unerlaubte Zugriffe ermöglicht. Unter der Kennung CVE-2026-35431 wurde eine Lücke im Identitätsdienst Microsoft Entra ID identifiziert.
Mit einem maximalen Risiko-Score von 10.0 handelt es sich hierbei um eine Server-side request forgery (SSRF), die unbefugte Zugriffe auf interne Ressourcen ermöglichen kann. Im Gegensatz zum Microsoft Defender hat der Hersteller dieses Problem bereits serverseitig gelöst.
Da es sich um einen Cloud-Dienst handelt, rollt Microsoft die notwendigen Anpassungen automatisch aus. Das bedeutet, dass keine manuellen Eingriffe in die Konfiguration erforderlich sind. Dennoch unterstreicht diese parallele Bedrohung, wie wichtig eine ganzheitliche Betrachtung der IT-Sicherheit ist.
Eine ganzheitliche Betrachtung der IT-Sicherheit ist von Bedeutung, um alle Schwachstellen aufzuspüren. Bild: Gemini (Bild generiert mit KI)
Tipps zum Schutz: aktueller Virenscanner
Um die Auswirkungen der Windows-Defender-Sicherheitslücke zu minimieren, sollten Unternehmen sofortige Prüfroutinen etablieren:
- Stellen Sie sicher, dass auf allen Systemen die automatische Verteilung von Plattform- und Signaturupdates aktiviert ist. Da Microsoft die Fehlerbehebung bereits in die regulären Update-Zyklen integriert hat, ist ein manueller Download meist nicht erforderlich. Dennoch empfiehlt es sich, die erfolgreiche Installation der Version 4.18.26030.3011 aktiv zu kontrollieren.
- Zusätzlich zur Versionsprüfung sollten Sie den Echtzeitschutz sowie die Cloud-basierte Bedrohungserkennung in den Einstellungen dauerhaft aktivieren. Diese Funktionen bilden die erste Verteidigungslinie gegen Exploits wie RedSun, die versuchen, Schadsoftware tief im System zu verankern.
Grundsätzlich gilt: Ein regelmäßiger Blick in das Windows-Sicherheitscenter hilft Ihnen dabei, den Schutzstatus Ihrer Arbeitsplätze im Blick zu behalten und auf Warnmeldungen sofort zu reagieren. Und natürlich sollten Sie grundsätzlich darauf achten, dass, egal welchen Virenscanner Sie verwenden, er stets aktuell ist.
PC-SPEZIALIST: Hilfe bei IT-Sicherheit
Die aktuelle Windows-Defender-Sicherheitslücke zeigt, dass auch Standardlösungen eine kontinuierliche Überwachung benötigen. Für kleine Unternehmen ist es oft eine Herausforderung, neben dem Tagesgeschäft alle sicherheitsrelevanten Updates im Blick zu behalten, da sie nur selten einen IT-Verantwortlichen oder eine eigenen IT-Abteilung haben. Ein unbemerkter Zero-Day-Exploit führt im Ernstfall zu kostspieligen Betriebsunterbrechungen oder Datenverlusten.
PC-SPEZIALIST unterstützt Sie dabei, Ihre IT-Infrastruktur dauerhaft abzusichern. Im Rahmen unserer Services für Ihre IT-Sicherheit prüfen unsere Experten Ihre Systeme auf aktuelle Patch-Stände und implementieren bei Bedarf weiterführende Schutzkonzepte, die über den Standard-Virenschutz hinausgehen. Nehmen Sie gern Kontakt zu uns auf, um Ihre IT-Sicherheit zu maximieren und sich gegen moderne Cyberbedrohungen zu wappnen.
_______________________________________________
Quellen: consecur, security-insider, msrc.microsoft, Pexels/Lucas Andrade (Headerbild)
Schreiben Sie einen Kommentar