BlueHammer, CISA

BlueHammer: CISA warnt vor Microsoft-Defender-Lücke bei Ransomware

30.06.2026 - 19:24:06 | boerse-global.de

Die US-Behörde CISA stuft die Schwachstelle BlueHammer in Microsoft Defender als von Ransomware-Gruppen aktiv ausgenutzt ein.

CISA warnt: Erpresserbanden nutzen Microsoft Defender Lücke BlueHammer
BlueHammer - Ein digitales Vorhängeschloss zerspringt in leuchtend blaue Fragmente, Binärcode fließt in einer dunklen High-Tech-Umgebung herab. 30.06.2026 - Bild: über boerse-global.de

Die US-Cybersicherheitsbehörde CISA hat eine Sicherheitslücke in Microsoft Defender als aktuell von Erpresserbanden genutzt eingestuft. Die als BlueHammer bekannte Schwachstelle ermöglicht Angreifern die vollständige Systemkontrolle.

Kritische Schwachstelle im Sicherheitsdienst

Die als CVE-2026-33825 registrierte Lücke betrifft die Art und Weise, wie Microsoft Defender die Security Accounts Manager-Datenbank (SAM) verarbeitet. Gelingt die Ausnutzung, können lokale Angreifer ihre Berechtigungen auf SYSTEM-Ebene ausweiten – die höchste Zugriffsstufe auf Windows-Systemen.

Microsoft hatte den Fehler bereits am 14. April 2026 im Rahmen des monatlichen Patch-Dienstags behoben. Allerdings wurde die Schwachstelle bereits vor der Verfügbarkeit des Updates als Zero-Day ausgenutzt. Ein Sicherheitsforscher mit dem Pseudonym Nightmare Eclipse veröffentlichte später einen Proof-of-Concept-Exploit, der es kriminellen Gruppen erleichterte, die Lücke in ihre Werkzeugkästen zu integrieren.

Die CISA hatte BlueHammer bereits am 22. April in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Die Aktualisierung vom 29. Juni markiert nun den Übergang in die Hände von Ransomware-Syndikaten. Interessanterweise hat Microsoft die Schwachstelle in der eigenen Dokumentation bislang offiziell nicht als ausgenutzt gekennzeichnet.

Welle von Erpresserangriffen

Anzeige

Angesichts der Zunahme von Ransomware-Attacken ist ein proaktiver Schutz vor Cyberangriffen für Unternehmen heute überlebenswichtig. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Report zu neuen Cyberrisiken anfordern

Die Ausnutzung von BlueHammer fällt in eine Phase erhöhter Aktivität mehrerer Ransomware-Groups. Allein am 29. Juni soll die Gruppe Qilin innerhalb von 24 Stunden zehn neue Opfer gemeldet haben. Auch die Gruppen Medusa Locker und Stormous sind weiterhin in verschiedenen Industriesektoren aktiv.

In einem weiteren besorgniserregenden Vorfall veröffentlichte ein anonymer Forscher unter dem Namen "bikini" am 29. Juni ein Repository auf GitHub mit Exploit-Code für 15 verschiedene Zero-Day-Schwachstellen. Obwohl GitHub das Repository schnell entfernte, enthielt es Angriffsprogramme für Produkte wie libssh2 und Gitea. Analysten vermuten, dass der Forscher fortschrittliche KI-Modelle zur Entdeckung dieser Schwachstellen einsetzte.

Weitere Infrastruktur-Bedrohungen

Parallel dazu erließ die CISA am 30. Juni eine dringende Anweisung zu einer separaten Schwachstelle in Citrix NetScaler (CVE-2026-3055). Der Fehler in der Eingabevalidierung erlaubt es Angreifern, administrative Sitzungs-IDs zu kapern. Bundesbehörden wurden angewiesen, die Patches bis Donnerstag dieser Woche einzuspielen.

Anzeige

Immer mehr Unternehmen werden Opfer von Cyberangriffen durch manipulierte E-Mails oder Sicherheitslücken. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich durch gezielte Awareness und Analysen wirksam absichern kann. Gratis-Leitfaden zur Hacker-Abwehr jetzt herunterladen

Sicherheitsforscher von Blackpoint Cyber identifizierten zudem eine neue Angriffskette, die sich gegen Entwickler richtet. Diese Kampagne nutzt eine Umgehungslücke in SimpleHelp (CVE-2026-48558), um die plattformübergreifende Malware Djinn Stealer zu verbreiten. Die Schadsoftware zielt auf Windows-, macOS- und Linux-Systeme ab und stiehlt Anmeldedaten für Cloud-Umgebungen, Quellcode-Plattformen und KI-Programmierassistenten wie Claude und Gemini.

Unternehmen wird dringend empfohlen, zu überprüfen, ob alle Microsoft-Defender-Updates aus April 2026 installiert sind, um das Risiko durch den BlueHammer-Exploit zu minimieren.

de | wissenschaft | 69662976 |