BlueHammer: Microsoft-Lücke wird aktiv von Erpresserbanden genutzt
30.06.2026 - 16:15:00 | boerse-global.de
Die US-Behörde CISA bestätigt den aktiven Missbrauch einer schwerwiegenden Sicherheitslücke in Microsoft Defender durch Erpresserbanden.
Die als BlueHammer bekannte Schwachstelle (CVE-2026-33825) ermöglicht Angreifern mit lokalem Zugriff den Zugriff auf die Sicherheitskonten-Datenbank (SAM) und eine Rechteausweitung auf SYSTEM-Ebene. Das teilte die Cybersecurity and Infrastructure Security Agency (CISA) am heutigen Dienstag mit. Die Lücke wurde bereits Anfang April 2026 von einem Sicherheitsforscher namens Nightmare Eclipse entdeckt, der auch einen Proof-of-Concept-Exploit veröffentlichte.
Von der Entdeckung zur aktiven Bedrohung
Microsoft schloss die Sicherheitslücke am 14. April mit einem Patch. Am 22. April nahm CISA BlueHammer in den Katalog bekannter ausgenutzter Schwachstellen (KEV) auf. Doch der jüngste Bericht zeigt: Die Lücke ist längst zum Werkzeug aktiver Ransomware-Kampagnen geworden.
Sicherheitsanalysten von Huntress Labs beobachteten bereits vor der breiten Bekanntmachung des Fehlers gezielte Angriffe mit manueller Tastaturaktivität. Während Bundesbehörden in den USA angewiesen wurden, die Schwachstelle bis Anfang Mai zu schließen, bleiben ungepatchte Systeme in der Privatwirtschaft bevorzugte Ziele für den Diebstahl von Anmeldedaten und die laterale Bewegung im Netzwerk.
Neue Angriffswelle auf Cloud- und KI-Infrastruktur
Parallel dazu nutzen Angreifer eine Schwachstelle in der Fernwartungssoftware SimpleHelp (CVE-2026-48558) aus. Laut Berichten von Blackpoint Cyber kommt dabei eine ausgeklügelte Angriffskette zum Einsatz. Ein Node.js-Loader namens TaskWeaver liefert den Djinn Stealer aus – eine plattformübergreifende Schadsoftware für Windows, macOS und Linux.
Djinn Stealer zielt gezielt auf Zugangsdaten für Cloud-Plattformen wie AWS, Azure und Google Cloud Platform ab. Auch Tokens von KI-Programmierassistenten wie Claude, Gemini und Codex stehen im Fokus. Vor der Aufnahme in den CISA-KEV-Katalog waren schätzungsweise rund 1.000 SimpleHelp-Server durch diese Authentifizierungslücke gefährdet.
Die BlueHammer-Lücke wird aktiv von Erpresserbanden genutzt – mit Rechteausweitung auf SYSTEM-Ebene. Ungepatchte Systeme sind bevorzugte Ziele. Dieser Report liefert Ihnen die entscheidende Checkliste und einen Notfallplan. Jetzt kostenlosen Sicherheits-Report anfordern
Rekord-Patchday offenbart Altlasten von Windows
Die aktuelle Welle ausgenutzter Schwachstellen folgt auf einen rekordverdächtigen Patchday im Juni 2026. Microsoft schloss damals 206 Sicherheitslücken – darunter sechs Zero-Days. Der bisherige Rekord lag bei 175 Korrekturen. Branchenanalysten sehen den Anstieg auch im Einsatz KI-gestützter Schwachstellensuche begründet.
Die wiederkehrenden Sicherheitsprobleme haben eine tiefere Ursache: Der alternde Windows-Kernel enthält Architekturelemente aus Windows NT 3.1 von 1993. Die Notwendigkeit der Abwärtskompatibilität führt dazu, dass Altlasten im Code bestehen bleiben. Erst kürzlich deaktivierte Microsoft bestimmte desktop.ini-Parsing-Funktionen aus Windows 95 aufgrund anhaltender Sicherheitsrisiken.
Funktionelle Fehler und ablaufende Secure-Boot-Zertifikate
Neben kritischen Sicherheitslücken kämpfen Windows-Nutzer mit funktionellen Problemen. Microsoft bestätigte einen neuen Fehler im Juni-Update (KB5094126), der den Papierkorb auf allen unterstützten Versionen von Windows 10, Windows 11 und Windows Server betrifft. Der Löschbestätigungsdialog zeigt dabei interne Dateinamen anstatt der tatsächlichen Namen der zu löschenden Dateien.
Altlasten im Windows-Kernel erschweren die Sicherheit – BlueHammer ist nur die Spitze des Eisbergs. Bevor Ihre Konkurrenz die Lücke für laterale Bewegungen nutzt, sichern Sie sich den Leitfaden zur Härtung Ihrer Windows-Systeme. Windows-Härtungs-Leitfaden jetzt sichern
Ein bedeutender Infrastrukturwechsel steht ebenfalls an: Die Microsoft-Secure-Boot-Zertifikate von 2011 sind seit dem 24. Juni 2026 abgelaufen. Große PC-Hersteller wie Dell, HP, Lenovo und Asus haben begonnen, BIOS-Updates auszurollen, um Systeme vor Bootkit-Angriffen zu schützen. Microsoft betont, dass abgelaufene Zertifikate den normalen Betrieb oder Sicherheitsupdates nicht beeinträchtigen, jedoch Warnungen in der Windows-Sicherheit auslösen können.
Für den langfristigen Betrieb kündigte Microsoft am 29. Juni an, den Hotpatching-Support für Windows Server 2022 Datacenter: Azure Edition bis Oktober 2027 zu verlängern. Diese Technologie ermöglicht Sicherheitsupdates ohne Systemneustart und ist seit April 2025 auch für Windows 11 Enterprise 24H2 verfügbar.
