Microsofts BlueHammer-Lücke wird von Ransomware ausgenutzt

Die US-Sicherheitsbehörde CISA warnt vor dem aktiven Missbrauch einer Schwachstelle in Microsoft Defender durch Ransomware-Angreifer. Die als BlueHammer bezeichnete Sicherheitslücke hatte ein anonymer Sicher­heits­forscher bekannt gemacht.
Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Trojaner, Virus, Schadsoftware, Cybersecurity, Exploit, Cybercrime, Hacking, Hackerangriff, Internetkriminalität, Erpressung, Warnung, Darknet, Hacker Angriff, Hacker Angriffe, Hacken, Attack, Ransom, Hacks, Crime, Russische Hacker, Viren, Gehackt, Schädling, China Hacker, Security Report, Malware Warnung, Security Bulletin, Promi-Hacker, Android Malware

Bug seit April bekannt

BlueHammer gehört zu mehreren Bugs, die in den vergangenen Monaten von dem Forscher mit den Pseudonymen "Chaotic Eclipse" und "Nightmare Eclipse" veröffentlicht wurden. Der Forscher hatte Microsoft wiederholt für den Umgang mit gemeldeten Schwachstellen kritisiert. Aus Unzufriedenheit mit dem Offenlegungsprozess machte er mehrere Exploits öffentlich, bevor der Softwarekonzern entsprechende Sicherheitsupdates bereitstellen konnte.

Die Schwachstelle CVE-2026-33825, um die es im aktuellen Fall laut der SecurityWeek geht, wurde am 2. April öffentlich bekannt. Microsoft veröffentlichte am 14. April Patches und erklärte, dass ein authentifizierter Angreifer die Lücke zur Rechteausweitung ausnutzen könne. Dadurch lassen sich höhere Systemprivilegien erlangen, was Angreifern zusätzliche Möglichkeiten für weitere Kompromittierungen eröffnet.


Obwohl Microsoft zuletzt am 30. April darauf hinwies, dass eine Ausnutzung der Schwachstelle wahrscheinlich sei, bestätigte das Unternehmen bislang keine Angriffe unter realen Bedingungen. Hinweise auf eine aktive Ausnutzung gab es jedoch bereits vor der Veröffentlichung der Updates. So beobachtete das Cybersicherheitsunternehmen Huntress nach eigenen Angaben entsprechende Attacken, als noch kein Patch verfügbar war und die Lücke somit als Zero-Day-Schwachstelle galt.

Die CISA nahm BlueHammer am 22. April in ihren Katalog der "Known Exploited Vulnerabilities" (KEV) auf. Dieser listet Sicherheitslücken, für die bereits bestätigte Ausnutzungen vorliegen. Inzwischen hat die Behörde den Eintrag aktualisiert und ausdrücklich ergänzt, dass die Schwachstelle in Ransomware-Kampagnen verwendet wird.

Kritik an CISA

Welcher Erpressungstrojaner oder welche Tätergruppe hinter den Angriffen steckt, ist derzeit nicht bekannt. Öffentliche Berichte, die eine konkrete Zuordnung ermöglichen würden, liegen bislang offenbar nicht vor. Auf jeden Fall wird aber klar, wie dringend es geboten ist, die aktuellen Sicherheits-Updates für Microsoft-Produkte zu installieren.

Die aktualisierte CISA-Meldung hat zugleich eine Diskussion über den praktischen Nutzen solcher Hinweise ausgelöst. Kritiker bemängeln, dass die Behörde betroffene Organisationen nicht gesondert informiert, wenn eine bereits gelistete Schwachstelle erstmals mit Ransomware-Angriffen in Verbindung gebracht wird. Um Änderungen im KEV-Katalog leichter nachverfolgen zu können, stellte das Threat-Intelligence-Unternehmen GreyNoise Anfang des Jahres ein kostenloses Werkzeug zur Überwachung entsprechender Aktualisierungen bereit.

Zusammenfassung
  • Ransomware-Angreifer nutzen aktuell die Lücke BlueHammer aktiv aus
  • Die Schwachstelle betrifft Sicherheitsfunktionen in Microsoft Defender
  • Microsoft veröffentlichte Patches bereits am 14. April dieses Jahres
  • US-Behörde CISA nahm das Leck in ihren KEV-Katalog für Angriffe auf
  • Identität der für die aktuellen Attacken verantwortlichen bleibt offen

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!