Microsofts BlueHammer-Lücke wird von Ransomware ausgenutzt
Die US-Sicherheitsbehörde CISA warnt vor dem aktiven Missbrauch einer Schwachstelle in Microsoft Defender durch Ransomware-Angreifer. Die als BlueHammer bezeichnete Sicherheitslücke hatte ein anonymer Sicherheitsforscher bekannt gemacht.
Die Schwachstelle CVE-2026-33825, um die es im aktuellen Fall laut der SecurityWeek geht, wurde am 2. April öffentlich bekannt. Microsoft veröffentlichte am 14. April Patches und erklärte, dass ein authentifizierter Angreifer die Lücke zur Rechteausweitung ausnutzen könne. Dadurch lassen sich höhere Systemprivilegien erlangen, was Angreifern zusätzliche Möglichkeiten für weitere Kompromittierungen eröffnet.
Obwohl Microsoft zuletzt am 30. April darauf hinwies, dass eine Ausnutzung der Schwachstelle wahrscheinlich sei, bestätigte das Unternehmen bislang keine Angriffe unter realen Bedingungen. Hinweise auf eine aktive Ausnutzung gab es jedoch bereits vor der Veröffentlichung der Updates. So beobachtete das Cybersicherheitsunternehmen Huntress nach eigenen Angaben entsprechende Attacken, als noch kein Patch verfügbar war und die Lücke somit als Zero-Day-Schwachstelle galt.
Die CISA nahm BlueHammer am 22. April in ihren Katalog der "Known Exploited Vulnerabilities" (KEV) auf. Dieser listet Sicherheitslücken, für die bereits bestätigte Ausnutzungen vorliegen. Inzwischen hat die Behörde den Eintrag aktualisiert und ausdrücklich ergänzt, dass die Schwachstelle in Ransomware-Kampagnen verwendet wird.
Die aktualisierte CISA-Meldung hat zugleich eine Diskussion über den praktischen Nutzen solcher Hinweise ausgelöst. Kritiker bemängeln, dass die Behörde betroffene Organisationen nicht gesondert informiert, wenn eine bereits gelistete Schwachstelle erstmals mit Ransomware-Angriffen in Verbindung gebracht wird. Um Änderungen im KEV-Katalog leichter nachverfolgen zu können, stellte das Threat-Intelligence-Unternehmen GreyNoise Anfang des Jahres ein kostenloses Werkzeug zur Überwachung entsprechender Aktualisierungen bereit.
Siehe auch:
Bug seit April bekannt
BlueHammer gehört zu mehreren Bugs, die in den vergangenen Monaten von dem Forscher mit den Pseudonymen "Chaotic Eclipse" und "Nightmare Eclipse" veröffentlicht wurden. Der Forscher hatte Microsoft wiederholt für den Umgang mit gemeldeten Schwachstellen kritisiert. Aus Unzufriedenheit mit dem Offenlegungsprozess machte er mehrere Exploits öffentlich, bevor der Softwarekonzern entsprechende Sicherheitsupdates bereitstellen konnte.Die Schwachstelle CVE-2026-33825, um die es im aktuellen Fall laut der SecurityWeek geht, wurde am 2. April öffentlich bekannt. Microsoft veröffentlichte am 14. April Patches und erklärte, dass ein authentifizierter Angreifer die Lücke zur Rechteausweitung ausnutzen könne. Dadurch lassen sich höhere Systemprivilegien erlangen, was Angreifern zusätzliche Möglichkeiten für weitere Kompromittierungen eröffnet.
Obwohl Microsoft zuletzt am 30. April darauf hinwies, dass eine Ausnutzung der Schwachstelle wahrscheinlich sei, bestätigte das Unternehmen bislang keine Angriffe unter realen Bedingungen. Hinweise auf eine aktive Ausnutzung gab es jedoch bereits vor der Veröffentlichung der Updates. So beobachtete das Cybersicherheitsunternehmen Huntress nach eigenen Angaben entsprechende Attacken, als noch kein Patch verfügbar war und die Lücke somit als Zero-Day-Schwachstelle galt.
Die CISA nahm BlueHammer am 22. April in ihren Katalog der "Known Exploited Vulnerabilities" (KEV) auf. Dieser listet Sicherheitslücken, für die bereits bestätigte Ausnutzungen vorliegen. Inzwischen hat die Behörde den Eintrag aktualisiert und ausdrücklich ergänzt, dass die Schwachstelle in Ransomware-Kampagnen verwendet wird.
Kritik an CISA
Welcher Erpressungstrojaner oder welche Tätergruppe hinter den Angriffen steckt, ist derzeit nicht bekannt. Öffentliche Berichte, die eine konkrete Zuordnung ermöglichen würden, liegen bislang offenbar nicht vor. Auf jeden Fall wird aber klar, wie dringend es geboten ist, die aktuellen Sicherheits-Updates für Microsoft-Produkte zu installieren.Die aktualisierte CISA-Meldung hat zugleich eine Diskussion über den praktischen Nutzen solcher Hinweise ausgelöst. Kritiker bemängeln, dass die Behörde betroffene Organisationen nicht gesondert informiert, wenn eine bereits gelistete Schwachstelle erstmals mit Ransomware-Angriffen in Verbindung gebracht wird. Um Änderungen im KEV-Katalog leichter nachverfolgen zu können, stellte das Threat-Intelligence-Unternehmen GreyNoise Anfang des Jahres ein kostenloses Werkzeug zur Überwachung entsprechender Aktualisierungen bereit.
Zusammenfassung
- Ransomware-Angreifer nutzen aktuell die Lücke BlueHammer aktiv aus
- Die Schwachstelle betrifft Sicherheitsfunktionen in Microsoft Defender
- Microsoft veröffentlichte Patches bereits am 14. April dieses Jahres
- US-Behörde CISA nahm das Leck in ihren KEV-Katalog für Angriffe auf
- Identität der für die aktuellen Attacken verantwortlichen bleibt offen
Siehe auch:
Thema:
Neue Downloads zum Thema
Videos zum Thema
- Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
- Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
- Geht immer noch: So kann sich Malware per E-Mail einschleichen
- Windows 10: Manuelle Konfiguration vom Defender ausgebremst
- LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- Effektiv mtl. nur 0,95 Euro: Apple Watch 11 mit 20 GB Telekom-Flat
- Games nur noch digital: Sony bestätigt Aus für alle Disc-Spiele
- Die Google-KI Gemini blickt bald durch die Frontkamera im Auto
- Microsofts BlueHammer-Lücke wird von Ransomware ausgenutzt
- Juli-Abverkauf: 15 Deals bei Media Markt & Saturn, die sich lohnen
- Meta schröpft Smart-Glasses-Besitzer mit nachträglichen Nutzungslimits
- KI-Bilder in Sekunden: Google bringt jetzt Nano Banana 2 Lite
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen