Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Windows & Microsoft 365 30.06.2026 · 4 min Lesezeit

Microsoft Defender BlueHammer CVE-2026-33825: Patchstand heute prüfen

CVE-2026-33825 betrifft Microsoft Defender Antimalware Platform bis vor 4.18.26030.3011. Es ist lokale Rechteausweitung, keine direkte Remote Code Execution.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Microsoft Defender BlueHammer CVE-2026-33825 als Cybersecurity News Grafik mit Windows Schutzschild, blauem Hammer Symbol und Patch Check Status zur Prüfung des aktuellen Patchstands.

Admins sollten heute prüfen, ob Microsoft Defender beziehungsweise die Microsoft Defender Antimalware Platform auf Windows-Systemen aktuell ist. Relevant ist CVE-2026-33825, weil CISA die Lücke als bekannt ausgenutzt führt und im KEV-Datensatz bekannte Ransomware-Nutzung nennt.

Wichtig für die Entscheidung: Das ist keine direkte Remote Code Execution aus dem Internet. Technisch geht es um lokale Rechteausweitung in Microsoft Defender. Wahrscheinlich betroffen sind Windows-Clients, Windows-Server und Terminalserver mit Microsoft Defender Antimalware Platform bis vor Version 4.18.26030.3011. Nicht betroffen sind Systeme ohne Microsoft Defender oder Systeme mit nachweislich aktualisierter Defender-Plattform.

Warum diese Meldung wichtig ist

Die Lücke ist operativ dringend, weil Microsoft Defender auf vielen Windows-Systemen standardmäßig oder ergänzend aktiv ist. Ein Angreifer kann damit aber nicht einfach von außen Defender übernehmen. Er braucht zunächst eine Möglichkeit, Code lokal auszuführen oder einen vorhandenen Benutzerkontext zu missbrauchen.

Der wahrscheinliche Angriffspfad ist deshalb: Phishing, kompromittiertes Konto, Fernwartungszugang, Malware-Erstzugriff oder ein anderer lokaler Einstieg. Danach kann CVE-2026-33825 zur Rechteausweitung genutzt werden. In Ransomware-Angriffen ist genau dieser Schritt relevant, weil lokale Rechteausweitung häufig zwischen Erstzugriff und Verschlüsselung, Deaktivierung von Schutzfunktionen oder Seitwärtsbewegung liegt.

Was ist passiert?

CISA führt CVE-2026-33825 im Known Exploited Vulnerabilities Catalog als Microsoft Defender Insufficient Granularity of Access Control Vulnerability. CISA beschreibt, dass ein autorisierter Angreifer lokal Rechte ausweiten kann. Der KEV-Datensatz nennt außerdem bekannte Ransomware-Nutzung.

Der MSRC-Eintrag ist die Herstellerquelle für CVE-2026-33825. NVD führt den CVE-Eintrag als ergänzende Referenz. BleepingComputer ordnet die Lücke unter dem Namen BlueHammer ein und berichtet über den Ransomware-Kontext. Gesichert ist damit: Microsoft Defender ist betroffen, es geht um lokale Rechteausweitung, CISA führt bekannte Ausnutzung und Ransomware-Nutzung. Unsicher bleibt öffentlich, welche konkreten Ransomware-Gruppen die Lücke nutzen und welche Unternehmensgrößen besonders betroffen sind.

Wer ist betroffen?

Konkret zu prüfen sind Windows 10, Windows 11 und Windows-Server-Systeme mit Microsoft Defender Antimalware Platform bis vor Version 4.18.26030.3011. Dazu zählen Clients, Server, Terminalserver, RDS-Hosts und Systeme, auf denen Defender parallel zu anderen Sicherheitslösungen aktiv ist.

Besonders zu priorisieren sind Systeme mit lokalen Adminrechten, häufigem Benutzerkontakt, Mail- und Browsernutzung, Fernwartungszugängen, RDS-Nutzung, Dateifreigaben oder kritischen Geschäftsdaten. Nicht betroffen sind Linux-, macOS- und Windows-Systeme ohne die betroffene Defender-Plattform oder mit nachweislich aktualisierter Microsoft Defender Antimalware Platform.

Wie kritisch ist das?

Bewertung: Akut zu priorisieren für ungepatchte Windows-Systeme mit Microsoft Defender, besonders bei Clients, Servern oder Terminalservern mit erhöhtem Risiko. Technisch handelt es sich um lokale Rechteausweitung, nicht um direkte Remote Code Execution.

Die Dringlichkeit entsteht nicht daraus, dass jeder Angreifer direkt aus dem Internet Defender übernehmen kann. Sie entsteht daraus, dass lokale Rechteausweitung in realen Angriffsketten nach Phishing, kompromittierten Konten, Fernwartungszugängen oder Malware-Erstzugriff eingesetzt werden kann. Ein geplantes Wartungsfenster reicht nur, wenn die Defender-Plattformversion, der Patchstand und die Risikosysteme bereits sauber belegt sind.

Was sollten Admins jetzt tun?

  1. Microsoft Defender Antimalware Platform Version prüfen. Ziel ist mindestens Version 4.18.26030.3011 oder neuer.
  2. Patchstand gegen CVE-2026-33825 über Microsoft Security Update Guide, Intune, Defender for Endpoint, WSUS, RMM oder EDR abgleichen.
  3. Systeme mit lokalen Adminrechten, Terminalserver, RDS-Hosts, Fileserver und kritische Clients priorisieren.
  4. EDR- und Defender-Ereignisse auf lokale Rechteausweitung, verdächtige Prozesse, ungewöhnliche Defender-Aktivitäten und nachgelagerte Ransomware-Aktivität prüfen.
  5. Lokale Adminrechte reduzieren und Windows LAPS prüfen, damit ein kompromittiertes Benutzerkonto nicht unnötig schnell zu breiteren Rechten führt.
  6. Backup- und Restore-Fähigkeit für kritische Windows-Systeme kontrollieren, weil CISA bekannte Ransomware-Nutzung nennt.

Einordnung für kleine Unternehmen

Kleine Unternehmen sollten nicht davon ausgehen, dass automatische Updates überall funktioniert haben. Entscheidend ist ein konkreter Versionsnachweis der Microsoft Defender Antimalware Platform. Besonders wichtig sind Geräte, die selten im Firmennetz sind, Terminalserver mit vielen Benutzern und Server, auf denen lokale Adminrechte historisch gewachsen sind.

Passende Anleitungen auf S EDV

  1. Windows LAPS mit Entra ID und Intune: Hilft, lokale Adminrechte und lokale Administratorpasswörter auf Windows-Geräten kontrolliert abzusichern.
  2. Immutable Backups gegen Ransomware: Ergänzt die technische Patchprüfung um belastbare Wiederherstellung, falls Rechteausweitung Teil einer Ransomware-Kette wird.
  3. Secure Boot 2023: UEFI-Zertifikate umstellen: Passt für Windows-Admins, die Plattformhärtung und Wartungsfenster für Clients, Server und virtuelle Maschinen planen.

Quellen

  1. CISA KEV JSON Feed: Belegt CVE-2026-33825, Microsoft Defender, lokale Rechteausweitung und bekannte Ransomware-Nutzung.
  2. Microsoft Security Update Guide CVE-2026-33825: Herstellerquelle für Update- und Produktinformationen zu CVE-2026-33825.
  3. NVD CVE-2026-33825: CVE-Referenz und ergänzende Schwachstellenbeschreibung.
  4. BleepingComputer: Ergänzende Einordnung zu BlueHammer und Ransomware-Nutzung.
Verwandt

Weiter lesen

Alle Artikel →
Windows 10 Desktop mit Microsoft Sicherheitsupdates und Hinweis auf verlängerten ESU Schutz bis Oktober 2027.
28.06.2026 ·3 min

Microsoft verlängert kostenlose Windows 10 Sicherheitsupdates bis Oktober 2027

Microsoft hat die kostenlosen Extended Security Updates für Windows 10-Privatnutzer stillschweigend um ein weiteres Jahr bis zum 12. Oktober 2027 verlängert. Nutzer müssen sich mit einem Microsoft-Konto registrieren, um die Updates zu erhalten.
Microsoft Defender Warnmeldung zur RoguePlanet-Lücke CVE-2026-50656 mit beschädigtem Schutzschild, Serverumgebung und ausstehendem Patch Status in moderner Cybersecurity News Grafik
20.06.2026 ·4 min

Microsoft Defender: RoguePlanet-Lücke CVE-2026-50656 bleibt vorerst ungepatcht

Microsoft arbeitet an einem Update für die Defender-Lücke CVE-2026-50656. Für Administratoren zählt jetzt vor allem saubere Update-Kontrolle und reduzierte lokale Angriffsfläche.
Redaktionelle IT-News-Grafik zu Windows-Clipper-Malware: USB-LNK-Wurm kapert Krypto-Transaktionen ueber Tor-C2
19.06.2026 ·3 min

Windows-Clipper-Malware: USB-LNK-Wurm kapert Krypto-Transaktionen über Tor-C2

Microsoft, The Hacker News und BleepingComputer über Windows-Clipper-Kampagne per USB-LNK-Wurm mit Tor-C2-Infrastruktur. Für Admins: search-ms-Sperre, AutoPlay, ASR.