- CISA hat BlueHammer, einen Microsoft Defender-Rechteausweitungsfehler, zu seinem Katalog bekannter ausgenutzter Sicherheitslücken hinzugefügt.
- Die Bundesbehörden haben bis zum 6. Mai Zeit, die Nutzung zu beheben oder einzustellen, da Forscher eine aktive Ausbeutung in freier Wildbahn bestätigt haben.
- Die Enthüllung kam von „Chaotic Eclipse“, das auch zwei weitere Defender-Zero-Days enthüllte, wobei Huntress Labs Ausnutzungsversuche mit verdächtiger globaler Infrastruktur in Verbindung brachte.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat BlueHammer in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und den Behörden der Federal Civilian Executive Branch (FCEB) eine zweiwöchige Frist eingeräumt, um die anfällige Software zu reparieren oder die Verwendung ganz einzustellen.
BlueHammer wird als „unzureichende Granularität der Zugriffskontrolle“ beschrieben Microsoft Defender“-Schwachstelle, die es unbefugten Angreifern ermöglicht, die Berechtigungen lokal zu erhöhen. Sie wird als CVE-2026-33825 verfolgt und erhielt einen Schweregrad von 7,8/10 (hoch).
Es wurde erstmals Anfang April dieses Jahres von einem scheinbar verärgerten Sicherheitsforscher mit dem Pseudonym „Chaotic Eclipse“ veröffentlicht. Sie veröffentlichten die Sicherheitslücke auf ihrem Blogdamals als Zero-Day, weil sie mit der Art und Weise, wie Microsoft mit der Offenlegung von Sicherheitslücken umgeht, nicht zufrieden waren.
Der Artikel wird weiter unten fortgesetzt
RedSun und unDefend
„Ich habe Microsoft nicht geblufft und mache es wieder“, sagten sie, bevor sie ein GitHub-Repository für BlueHammer teilten.
Microsoft antwortete mit der Aussage, dass es sich „für Kunden verpflichtet, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte so schnell wie möglich zu aktualisieren, um Kunden zu schützen“.
„Wir unterstützen auch die koordinierte Offenlegung von Schwachstellen, eine weit verbreitete Branchenpraxis, die dazu beiträgt, sicherzustellen, dass Probleme vor der öffentlichen Offenlegung sorgfältig untersucht und behoben werden, und so sowohl den Kundenschutz als auch die Sicherheitsforschungsgemeinschaft unterstützt“, sagte Microsoft.
Eine Woche später enthüllte derselbe Forscher eine weitere Zero-Day-Schwachstelle in Microsoft Defender. Dieser hier heißt RedSunwird als lokaler Fehler bei der Rechteausweitung beschrieben, der dies ermöglicht bösartig Akteure SYSTEM-Berechtigungen in den neuesten Versionen von Windows 10, Windows 11und Windows Server, wo Defender aktiviert ist.
Sie haben außerdem eine dritte Schwachstelle namens unDefend veröffentlicht, die offenbar als Standardbenutzer ausgenutzt werden kann, um Aktualisierungen der Defender-Definition zu blockieren.
Wenn CISA eine Sicherheitslücke zu KEV hinzufügt, bedeutet dies, dass es Beweise dafür gibt, dass diese in freier Wildbahn aktiv ausgenutzt wird. Die FCEB-Agenturen haben bis zum 6. Mai Zeit, den Patch zu erstellen.
Gleichzeitig sagten Sicherheitsforscher von Huntress Labs, sie hätten gesehen, wie böswillige Akteure die Schwachstellen in freier Wildbahn ausnutzten.
„Die Aktivität schien auch Teil eines umfassenderen Eingriffs und nicht eines isolierten Proof-of-Concept-Tests (PoC) zu sein“, sagte das Cybersicherheitsunternehmen in einem Bericht. „Huntress hat verdächtige FortiGate-SSL-VPN-Zugriffe identifiziert, die mit der kompromittierten Umgebung verknüpft sind, einschließlich einer in Russland geolokalisierten Quell-IP, wobei in anderen Regionen weitere verdächtige Infrastruktur beobachtet wurde.“
Über BleepingComputer
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten.
