Cybersecurity
April 29, 2026
Julia Wolf
Drei Zero-Days. Ein Ziel: der beste Virenschutz der Welt. Microsofts Windows Defender steht blank. Der Exploit-Code liegt auf GitHub. Die Angriffe laufen bereits. Und ein Patch? Gibt es nicht.
Es begann mit einem Tweet. Ein Sicherheitsforscher — nennen wir ihn T. — postete um kurz nach zwei Uhr nachts deutscher Zeit einen Link zu einem GitHub-Repository. Kein README. Kein Warnhinweis. Nur Code. Der Code tat, was er sollte: Er installierte Schadsoftware direkt in den System32-Ordner — unter den Augen von Windows Defender. Ohne Warnung. Ohne Quarantäne. Ohne jede Gegenwehr.
T. löschte den Post drei Stunden später. Zu spät. Der Code war zu diesem Zeitpunkt bereits tausendfach geklont.
RedSun ist der erste Name in einer Trilogie, die Microsoft lieber nie geschrieben hätte. Bei RedSun handelt es sich um eine Schwachstelle im Cloud-Dateihandling von Windows Defender — konkret im Zusammenspiel zwischen dem Defender-eigenen Dateiscanner und OneDrive.
Der Angriff funktioniert so: Ein Opfer lädt eine präparierte Datei über den Browser oder eine Desktop-App auf OneDrive hoch. Die Datei ist sauber — Defender scannt, findet nichts. Das Opfer öffnet die Datei auf einem anderen Rechner. Dort triggert sie einen sekundären Payload, der lokal ausgeführt wird. Defender sieht nur die erste Datei. Die zweite kennt er nicht.
Der Clou: Der Schadcode residiert nicht als Datei auf der Festplatte. Er existiert nur im flüchtigen Speicher — kurzzeitig, transient, gerade lange genug, um seine Arbeit zu erledigen. Traditionelle On-Access-Scanner, wie Windows Defender einen betreibt, haben gegen diesen Angriffstyp strukturell keine Chance. Sie scannen Dateien. Sie scannen keinen flüchtigen Speicherinhalt, der aus einem Cloud-Download resultiert.
Das Problem ist fundamentaler, als es auf den ersten Blick aussieht: Windows Defender wurde für ein Bedrohungsmodel entwickelt, in dem Dateien das primäre Angriffsmittel sind. Cloud-Downloads, die im Arbeitsspeicher landen, ohne je als Datei auf der Festplatte zu existieren, passen nicht in dieses Modell. Sie wurden nicht dagegen entwickelt. Sie können nicht dagegen entwickelt worden sein.
Der zweite Name ist Undefend. Er ist der kleine Bruder von RedSun, aber während BlueHammer seinen Schaden durch einen einzelnen Exploit anrichtet, nutzt Undefend eine sogenannte Race Condition im Patch-Mechanismus von Windows Defender selbst.
Microsoft hat auf die wachsende Bedrohungslage reagiert — mit einem Update-Mechanismus, der Definitionsdateien und Signaturen im Minutentakt nachladen soll. Theoretisch. Praktisch: Zwischen dem Moment, in dem eine neue Bedrohung erkannt wird, und dem Moment, in dem die Signatur auf dem Zielsystem installiert ist, liegen durchschnittlich 47 Minuten. In diesen 47 Minuten ist ein System angreifbar. Undefend nutzt genau dieses Fenster.
Der Exploit registriert sich als Systemprozess — ein Dienst, der so aussieht wie ein Windows-Update-Agent. Er tarnt sich nicht. Er muss sich nicht tarnen. Defender sucht nach bekannten Signaturen. Undefend trägt keine. Also passiert nichts. Der Dienst schreibt unterdessen alles, was er will, in den System32-Ordner.
Und hier wird es wirklich hässlich: Dieser Dienst startet mit SYSTEM-Rechten. Das bedeutet, er kann jede Datei im gesamten Betriebssystem überschreiben. Jeden Treiber. Jede DLL. Er kann sich als Kerneltreiber maskieren und bei jedem Systemstart automatisch laden. Er ist unsichtbar für jedes Tool, das auf Dateiebene operiert — weil er auf dieser Ebene operiert und gleichzeitig die Augen von Defender auf die ruhigste Art und Weise in eine andere Richtung lenkt.
BlueHammer ist der Name, der Mitte April die Runde machte — und damit der letzte Akt einer Geschichte, die schon im Dezember begann. Damals, so berichten es Sicherheitsforscher übereinstimmend, entdeckte ein anonymer Contributor im GitHub-Repository von KeeperSec, einem bekannten Open-Source-Sicherheitsframework, einen Diff, der nicht dorthin gehörte.
Der Diff — später als BlueHammer-Exploit identifiziert — nutzt eine Schwachstelle in der GetBinaryTypeW-API von Windows. Diese API bestimmt, ob eine Datei eine ausführbare PE-Datei ist oder nicht. BlueHammer täuscht einen falschen Dateityp vor — Windows erkennt die Datei daraufhin als ungefährlich, Windows Defender ordnet sie derselben Kategorie zu, und die Schadsoftware wird ohne Scan durchgereicht.
Die Forscher, die den Diff damals entdeckten, meldeten ihn an Microsoft. Drei Monate Stille. Dann, Anfang April, tauchte der Exploit in veränderter Form auf Twitter wieder auf. Vier Tage später war er auf GitHub. Fünf Tage später war er in einem Angriff eingesetzt, der laut Microsoft mehr als 500 Unternehmen weltweit betraf.
Lesen Sie auch: BlueHammer: Ungepatchte Zero-Day-Lücke in Windows 11
System32 ist der Tresor von Windows. Jede sicherheitsrelevante DLL, jeder kritische Treiber, jede Systemdatei — alles liegt in C:\Windows\System32. Schadsoftware, die sich dort einnistet, läuft mit SYSTEM-Rechten. Sie kann alles lesen, alles schreiben, alles ausführen. Sie kann sich als Treiber tarnen und beim nächsten Neustart automatisch laden. Sie ist unsichtbar für jedes Tool, das auf Dateiebene operiert.
Microsoft hat diese Struktur nicht ohne Grund gewählt. System32 ist geschützt — durch Berechtigungen, durch Windows Defender, durch Secure Boot. Das Problem ist nur: Die Schutzmechanismen schützen nicht gegen Angriffe, die die Schutzmechanismen selbst als Angriffsvektor nutzen.
Die Ironie dieser Konstellation lässt sich kaum übersehen: Ausgerechnet der am besten geschützte Ordner von Windows wird zur Drehscheibe eines Angriffs, der die Sicherheitsinfrastruktur des Systems als Ganzes aushebelt.
Für sich genommen ist jede der drei Schwachstellen ernst, aber beherrschbar. RedSun erfordert eine OneDrive-Verbindung. Undefend erfordert Zeit — 47 Minuten, um präzise zu sein. BlueHammer erfordert eine manipulierte Datei, die erst heruntergeladen werden muss.
Sicherheitsforscher der Gruppe DFIR — Digital Forensics and Incident Response — haben vergangene Woche einen Bericht veröffentlicht, der zeigt, wie alle drei Lücken in einem kombinierten Angriff genutzt werden — einem Zero-Day-Stacking-Angriff, wie ihn die Branche nennt. Der Ablauf:
Ab diesem Moment gehört der Rechner dem Angreifer. Aus Sicht von Windows Defender ist nichts passiert. Es gibt keine Warnung. Es gibt kein Alert. Es gibt nur einen infizierten Rechner, der fröhlich weitere Befehle von einem Command-and-Control-Server entgegennimmt.
Der Exploit-Code, den T. in jener Nacht Mitte April tweetete, trug eine Signatur — keine digitale, eine stilistische. Er war sauber geschrieben. Gut strukturiert. Mit Kommentaren, die verrieten, dass der Autor die Windows-Internals-Dokumentation von Microsoft von vorne bis hinten gelesen hatte.
Das Pattern ist bekannt. Es erinnert an die Autoren des Industroyer-Malware, die 2016 den Strom in Teilen der Ukraine abschalteten — und damit den bis dahin größten bekannten Stromausfall durch Cyberangriffe verursachten. Sandworm, die APT-Gruppe hinter dem Angriff, die dem russischen Militärgeheimdienst GRU zugerechnet wird, hat in den Jahren seitdem ihre Fähigkeiten kontinuierlich ausgebaut.
Sandworm operiert seit mehr als einem Jahrzehnt. Die Gruppe hat einen langen Track Record — vom Georgian-Krieg 2008 über die ersten Stromausfall-Attacken auf die Ukraine 2015 bis hin zum NotPetya-Angriff 2017, der globalen Schaden in Milliardenhöhe verursachte. Die Gruppe gibt nicht auf. Die Gruppe lernt dazu. Und die Gruppe hat die Werkzeuge, die finanziellen Ressourcen und die Geduld, um Angriffe über Monate hinweg vorzubereiten und durchzuführen.
Die Attacke auf das ukrainische Stromnetz im Dezember 2016 war kein gewöhnlicher Hack. Die Angreifer nutzten ICS-Protokoll-Fähigkeiten — spezialisierte Kommunikationsprotokolle für industrielle Steuerungssysteme — um direkt in die Kontrollsysteme der Umspannwerke einzugreifen. Sie schalteten Schutzrelais ab. Sie öffneten Leistungsschalter. Sie nutzten Logikbomben, die zeitverzögert ausgelöst wurden, um die Wiederherstellung des Netzes zu verzögern.
Die Forscher, die den Vorfall analysierten, fanden heraus, dass Industroyer kein Schnellschuss war. Die Malware war über Monate entwickelt worden. Sie war modular aufgebaut — jedes Modul für ein anderes Protokoll, für eine andere Infrastruktur. Die Angreifer kannten ihre Ziele. Sie wussten genau, wie die Umspannwerke funktionierten.
Was hat sich seit 2016 verändert? Alles. Die Werkzeuge sind präziser geworden. Die Angriffsflächen größer. Die Ziele vielfältiger. Und die Gruppen, die einst nur Stromausfälle verursachten, operieren heute auf einem völlig anderen Level — mit Zero-Day-Exploits, die nicht mehr nur industrielle Steuerungssysteme angreifen, sondern ganz gewöhnliche Arbeitsplatzrechner mit Windows Defender.
Es gibt keinen Patch. Stand heute, 29. April, gibt es keinen Patch. Microsoft hat die drei Schwachstellen bestätigt, aber keine Korrektur-Signaturen veröffentlicht. Das Unternehmen arbeitet daran, so die offizielle Stellungnahme. Wann ein Fix kommt, bleibt offen.
Was bedeutet das für Sie, Ihr Unternehmen, Ihre IT-Infrastruktur?
Erstens: OneDrive-Zugriff einschränken. RedSun nutzt den OneDrive-Client als Transportweg. Wenn Ihre Organisation OneDrive nicht zentral verwaltet, deaktivieren Sie die automatische Synchronisierung für nicht vertrauenswürdige Quellen. Das bedeutet nicht, OneDrive abzuschalten — es bedeutet, die Kontrolle darüber zu behalten, welche Dateien wohin synchronisiert werden.
Zweitens: System32 überwachen. Das klingt banal, aber in der Praxis wird der Ordner auf den meisten Systemen nicht überwacht. Ein Tripwire-System, das Änderungen an System32-Dateien in Echtzeit meldet, kann Undefend erkennen, bevor der Schaden entsteht. Es gibt open-source-Lösungen wie OSSEC oder Samhain, die diesen Job übernehmen können.
Drittens: Isolierung von Downloads. BlueHammer braucht einen lokalen Download. Wenn Sie den Download von ausführbaren Dateien aus dem Internet über eine Proxy- oder Filterlösung leiten, haben Sie einen zusätzlichen Prüfpunkt zwischen Payload und System. Endpoint-Detection-and-Response-Lösungen können hier ebenfalls einen Unterschied machen.
Und viertens: Geduld. Die 47 Minuten zwischen Signatur-Update und lokaler Installation sind Ihr kritischstes Fenster. Halten Sie in dieser Zeit die Augen offen. Wenn Ihr Defender in diesem Zeitraum keine Alerts generiert, ist das kein Grund zur Entwarnung. Es ist ein Grund zur Sorge.
Drei Zero-Days. Kein Patch. Ein Exploit auf GitHub, der in Minuten verstanden und adaptiert werden kann. Und eine Bedrohungslage, die sich verschärft — nicht abschwächt.
Microsofts Windows Defender ist einer der am weitesten verbreiteten Virenschutzprogramme der Welt. Auf Hunderten von Millionen Rechnern installiert. Standard in Windows 10 und Windows 11. Für viele Nutzer der erste und einzige Schutzwall zwischen ihnen und dem Rest des Internets.
Dieser Schutzwall hat drei Löcher. Die Löcher sind öffentlich. Die Werkzeuge, sie zu nutzen, liegen offen. Und die Gruppen, die dahinter stehen, haben bewiesen, dass sie nicht zögern werden, sie zu benutzen.
Es ist nicht mehr die Frage, ob ein Angriff kommt. Es ist die Frage, ob Sie vorbereitet sind, wenn er kommt.
Die Kunst, Antivirus-Software auszutricksen, ist so alt wie Antivirus-Software selbst. Schon in den frühen Nullerjahren, als Antivirenprogramme noch hauptsächlich über Signaturen funktionierten, entwickelten Angreifer Techniken wie Polymorphie — die Fähigkeit von Schadsoftware, ihren eigenen Code bei jeder Infektion leicht zu verändern, um Erkennung zu vermeiden.
Dann kam heuristic Analysis — die Fähigkeit von AV-Software, verdächtiges Verhalten zu erkennen, statt nur bekannte Signaturen zu scannen. Die Angreifer passten sich an. Sie nutzten Verschlüsselung, obfuskierten Code, tarnten Netzwerkkommunikation als legitimen Traffic. Die Schlacht ging in die nächste Runde.
Mit der Einführung von Windows Defender als Standard in Windows 8 und seiner kontinuierlichen Weiterentwicklung in Windows 10 und 11 schien Microsoft einen Wendepunkt erreicht zu haben. Hier war ein AV-Programm, das deep Learning und Verhaltensanalyse einsetzte, das mit Cloud-basierten Signaturen operierte, das in die Tiefe ging und nicht nur an der Oberfläche kratzte.
Und dann kamen RedSun, Undefend und BlueHammer. Drei Exploits, die nicht versuchen, den Scanner zu täuschen. Sie umgehen ihn. Sie nutzen Lücken in der Architektur. Sie greifen nicht die Signatur an, sondern die Infrastruktur, die sie erstellt und verteilt. Und sie tun das gleichzeitig, in einer Kombination, die jedem Sicherheitsteam Alpträume bereitet.
Zero-Days haben einen Preis. Auf dem Schwarzmarkt — und ja, es gibt einen Schwarzmarkt für Sicherheitslücken — kann eine einzelne, funktionierende Zero-Day-Schwachstelle in einem weit verbreiteten Produkt zwischen 100.000 und 2,5 Millionen US-Dollar kosten, je nach Reichweite und Stabilität.
Windows Defender mit seiner Milliarden-Installation-Basis wäre in diesem Markt ein Premium-Produkt. Eine funktionierende, nicht gepatchte Schwachstelle in Defender ist nicht irgendein Exploit. Es ist ein Exploit, der direkt in die Sicherheitsinfrastruktur von Hunderten von Millionen Rechnern weltweit einbricht, ohne dass der Nutzer etwas merkt.
Die drei jetzt öffentlichen Exploits wurden offenbar unabhängig voneinander von verschiedenen Forschungsgruppen entdeckt. Ihre Veröffentlichung auf GitHub senkt die Einstiegshürde für Angreifer drastisch. Was zuvor Insider-Wissen war, das gegen hohe Bezahlung gehandelt wurde, ist jetzt Public Domain. Jeder Script-Kiddie mit Grundverständnis von PowerShell kann diese Exploits jetzt nutzen.
Dieser Moment markiert einen Wendepunkt in der Bedrohungslandschaft. Zero-Days in Windows Defender waren früher den APT-Gruppen vorbehalten — hochfinanzierten, staatlich unterstützten Akteuren, die ihre Werkzeuge wie wertvolle Geheimnisse hüteten. Die Veröffentlichung auf GitHub demokratisiert diesen Zugang. Das ist keine Schwarzmalerei. Das ist die Realität, die die Sicherheitsbranche seit Jahren predigt: Exploits, die in falschen Händen landen, können nicht mehr eingefangen werden.
Die bisherigen Empfehlungen — OneDrive einschränken, System32 überwachen, Downloads filtern — sind wichtig, aber sie reichen nicht aus. Hier ist eine tiefergehende Betrachtung dessen, was Unternehmen wirklich tun können, während wir auf einen offiziellen Patch von Microsoft warten.
Application Whitelisting aktivieren. Die wirksamste Verteidigung gegen alle drei Exploits ist die Beschränkung dessen, was auf einem System überhaupt ausgeführt werden darf. Windows Applocker oder Windows Defender Application Control (WDAC) erlauben es Unternehmen, nur vorab genehmigte ausführbare Dateien zuzulassen. Das bedeutet: Selbst wenn BlueHammer eine manipulierte Datei durchschleust, verweigert das System deren Ausführung.
PowerShell-Skripte einschränken. Alle drei Exploits nutzen PowerShell als Delivery-Mechanismus in irgendeiner Form. Das Deaktivieren oder starke Einschränken von PowerShell — über Group Policy Objects, Constrained Language Mode oder vollständiges Blockieren — reduziert die Angriffsfläche erheblich. Ja, das bricht einige legitime Workflows. Aber es bricht auch die Exploits.
Netzwerksegmentierung prüfen. Wenn ein Endpunkt kompromittiert wird, sollte dies nicht automatisch den gesamten Unternehmenszugriff bedeuten. Mikrosegmentierung stellt sicher, dass ein infizierter Rechner nur auf die Systeme zugreifen kann, die er für seine legitime Arbeit benötigt. Das Limitiert den Schaden.
EDR-Layer implementieren. Windows Defender allein ist nicht ausreichend. Endpoint Detection and Response-Lösungen wie Microsoft Defender for Endpoint, CrowdStrike oder SentinelOne bieten Verhaltensanalyse, die die Zero-Day-Stacking-Angriffe erkennen kann, selbst wenn die Signaturen noch nicht verfügbar sind. Sie erkennen das Pattern — die Kombination aus ungewöhnlichem System32-Zugriff, getarnten Diensten und C2-Kommunikation — nicht die individuelle Schwachstelle.
Privilegierte Zugriffsverwaltung. SYSTEM-Rechte sind das Ziel. Wenn Sie diese Rechte einschränken — durch Local Admin Password Solution, Just-in-Time-Access oder RBAC — dann kann selbst ein erfolgreicher Exploit nur begrenzten Schaden anrichten.
Zero-Day-Stacking ist keine Hypothese. Die Forscher von DFIR haben ihn dokumentiert. Die Exploits liegen auf GitHub. Sandworm und vergleichbare Gruppen haben die Kapazitäten, solche Angriffe durchzuführen. Und Microsoft liefert keinen Fix.
Das alles zusammengenommen ergibt eine Schwachstelle, die nicht nur einzelne Systeme betrifft, sondern das Vertrauen in eine der grundlegendsten Sicherheitskomponenten von Windows erschüttert.
RedSun. Undefend. BlueHammer. Drei Namen, die Sie ab jetzt kennen sollten. Und drei Gründe, warum Sie Ihre Cybersicherheitsstrategie gerade neu denken sollten.
Denn eines ist sicher: Die Angreifer denken bereits darüber nach, wie sie diese Lücken in den nächsten Angriff einbauen. Und sie haben dafür mehr Zeit, mehr Ressourcen und mehr Motivation, als die meisten Unternehmen sich vorstellen können.
