Sicherheitsforschung führt manchmal zu unangenehmen Ergebnissen. Anfang April veröffentlichte ein Forscher, bekannt unter den Namen Chaotic Eclipse oder Nightmare-Eclipse, auf GitHub Proof-of-Concept-Exploit-Code für drei Schwachstellen in Windows Defender – nicht im Rahmen einer koordinierten Offenlegung, sondern als direkten Protest gegen die Art und Weise, wie das Security Response Center von Microsoft den Meldeprozess gehandhabt hatte. Innerhalb von zwei Wochen bestätigte Huntress Labs, dass Angreifer alle drei Exploits gegen aktive Unternehmensziele eingesetzt hatten.
Wir veröffentlichen dies nicht, um Microsoft noch mehr unter Druck zu setzen. Der „Patch Tuesday“ wird für jedes Unternehmen, das Windows einsetzt, auch weiterhin ein regelmäßiger Bestandteil des Patch-Managements sein. Was jedoch eine Diskussion wert ist, ist das strukturelle Problem, das diese drei Exploits offenbaren: Ihre endpoint ist kein neutraler Beobachter. Sie ist ein aktiver Teilnehmer am Dateisystem, und versierte Angreifer haben gelernt, diese Beteiligung gegen Sie zu nutzen.
Lassen Sie uns einmal genauer betrachten, was die einzelnen Exploits bewirken, wie sie operativ miteinander verknüpft sind und warum die Vectra AI – insbesondere über die Respond UX (RUX)-Oberfläche und ihre EDR-Integrationen – in der Lage ist, diese Aktivitäten dort zu erkennen, wo Perimeter- und endpoint blind sind.
Die drei Exploits: Was sie tatsächlich bewirken
BlueHammer (CVE-2026-33825): Wettlauf mit dem Verteidiger
BlueHammer ist eine „Time-of-Check-to-Time-of-Use“-Race-Condition (TOCTOU), die im Workflow für Signatur-Updates von Windows Defender verborgen ist. Der Exploit verknüpft opportunistische Sperren (Oplocks), die Windows Cloud , NTFS-Junction-Punkte und symbolische Links des Objektmanagers, um einen von Defender initiierten Dateilesevorgang von einem legitimen Signatur-Update weg und hin zum SAM-Registrierungshive in einem Volume-Shadow-Copy-Snapshot umzuleiten.
Einfach ausgedrückt: Defender versucht, eine Update-Datei zu lesen, der er vertraut, und ein Angreifer nutzt eine Race Condition aus, die diesen Lesevorgang auf eine Kopie der SAM-Datenbank umleitet, auf die normalerweise kein Zugriff möglich wäre. Defender führt den Lesevorgang mit seinen SYSTEM-Rechten durch und übergibt dem Angreifer den Inhalt der SAM-Datenbank. Von dort extrahiert der Exploit NTLM-Hashes, nutzt „Pass-the-Hash“, um ein lokales Administratorkonto zu übernehmen, und startet eine Shell auf SYSTEM-Ebene.
Kein Kernel-Exploit. Keine Speicherbeschädigung. Nur ein geschickter Missbrauch der Art und Weise, wie Defender während eines Updates mit dem Dateisystem interagiert.
RedSun: Der Patch hat das Problem nicht behoben
RedSun folgt einem ähnlichen Missbrauchsmuster – Cloud , Oplocks, eine Verzeichnisverbindung, die eine von Defender ausgelöste Umschreibung in einen geschützten Systempfad umleitet –, zielt jedoch auf eine andere Komponente ab: TieringEngineService.exe. Was RedSun operativ besonders bedenklich macht, ist die Tatsache, dass es auf vollständig gepatchten Systemen unter Windows 10, Windows 11 und Windows Server 2019 sowie neueren Versionen auch nach den Updates des „Patch Tuesday“ im April funktioniert.
Der Exploit täuscht die Echtzeit-Schutz-Engine von Defender mithilfe einer eingebetteten EICAR-Testzeichenfolge. Defender erkennt eine bekannte Signatur, leitet einen Behebungszyklus ein, und RedSun gewinnt das Wettrennen um die Umleitung der daraus resultierenden Dateiüberarbeitung. Zu diesem Zeitpunkt führt die Cloud die vom Angreifer platzierte Binärdatei als SYSTEM aus.
Für RedSun ist keine neue Sicherheitslücke erforderlich. Es setzt lediglich voraus, dass Defender läuft und seine Aufgabe erfüllt. Das ist der unangenehme Teil.
Der Sicherheitsforscher Will Dormann bestätigte, dass der Exploit auch auf vollständig gepatchten Systemen funktioniert, und Huntress stellte fest, dass Binärdateien in Verzeichnissen von Benutzern mit geringen Berechtigungen – in Bildermappen und zweistelligen Unterordnern innerhalb des Ordners „Downloads“ – unter Dateinamen aus den ursprünglichen PoC-Repositorys (FunnyApp.exe, RedSun.exe) sowie in umbenannten Varianten wie z.exe abgelegt wurden.
UnDefend: Die Verteidigungsschicht stillschweigend schwächen
UnDefend erweitert die Berechtigungen nicht direkt. Stattdessen stört es den Mechanismus zur Aktualisierung der Definitionen von Defender, um die Erkennungsgenauigkeit der endpoint im Laufe der Zeit schrittweise zu beeinträchtigen. Starten Sie es als Unterprozess von cmd.exe unter Explorer und führen Sie es mit dem Flag -agressive aus – genau das Muster, das Huntress in Live-Vorfällen beobachtet hat – und Sie beginnen, Defender die aktuellen Bedrohungsinformationen vorzuenthalten, ohne dabei einen schwerwiegenden Fehler auszulösen, der einen offensichtlichen Alarm auslösen würde.
Diese Kombination ist aus operativer Sicht von Bedeutung. Ein Angreifer nutzt BlueHammer oder RedSun, um SYSTEM-Rechte zu erlangen, und setzt anschließend UnDefend ein, um sicherzustellen, dass die endpoint nach und nach immer weniger in der Lage ist, nachfolgende Aktivitäten zu erkennen. Es handelt sich um eine mehrstufige Strategie zur Schwächung des Systems, nicht um einen einmaligen Exploit.
Die von der Jägerin beobachteten Angriffsmuster
Bei den Aktivitäten in freier Wildbahn handelt es sich nicht um automatisierte Angriffe. Huntress’ Analyse der Vorfälle vom 16. April beschreibt ein Muster, das auf einen manuellen Angriff hindeutet: Manuelle Abfragebefehle vor der Ausnutzung, darunter „whoami /priv“, um die aktuellen Berechtigungen zu ermitteln. Die Binärdateien werden gezielt in unauffälligen Benutzerverzeichnissen abgelegt. Es handelt sich um einen gezielten Angriff, nicht um handelsübliche malware.
Dieser Kontext ist entscheidend dafür, wie Sicherheitsverantwortliche das Thema Erkennung angehen müssen. Ein handelsüblicher Scanner, der nach bekannten schädlichen Hashes oder Signaturen sucht, erkennt möglicherweise die ursprünglichen PoC-Binärdateien. Eine umbenannte z.exe-Datei mit einer verschlüsselten EICAR-Zeichenkette – die, wie Dormann gezeigt hat, die Erkennungsrate bei VirusTotal leicht senkt – wird dies jedoch nicht tun. Der Verhaltensfingerabdruck ist das, was über alle Varianten hinweg gleich bleibt.
Das vor dem Angriff beobachtete Erkundungsverhalten – Ermittlung von Berechtigungen, gezielte Platzierung von Dateien in vom Benutzer beschreibbaren Verzeichnissen, Erzeugung von Unterprozessen unter dem Explorer – lässt sich erkennen. Nicht auf der endpoint , das angegriffen wird, sondern auf der darüber liegenden Netzwerk- und Identitäts-Ebene.
Wo Vectra AI in dieses Szenario Vectra AI
Endpoint sind das beabsichtigte Ziel dieser Exploits. Das ist keine Kritik an EDR – es ist eine zutreffende Beschreibung der Angriffsfläche. Wenn die Exploits erfolgreich sind, agieren sie innerhalb der Vertrauensgrenze, auf die sich endpoint stützen. Um zu erkennen, was als Nächstes geschieht, ist eine Transparenz erforderlich, die nicht von der Integrität des endpoint abhängt.
Die Erkennung und Reaktion im Netzwerk – insbesondere die über RUX betriebene Vectra AI – sorgt für diese Transparenz. Genau hier kommt es entlang der gesamten Angriffskette darauf an.
Vor der Ausnutzung: Verhaltensbasierte Erfassung
Die von Huntress dokumentierte manuelle Erfassung (whoami /priv, Privilegieninventar) generiert Prozessausführungs- und Befehlszeilenereignisse, die von den EDR-Integrationen von Vectra als Signale von Drittanbietern direkt in RUX angezeigt werden. Für Unternehmen, die CrowdStrike Falcon einsetzen, identifiziert die EDR-Prozesskorrelation – die im März 2026 in RUX allgemein verfügbar wurde – automatisch, welcher Prozess auf einem endpoint das von Vectra erkannte verdächtige Netzwerkverhalten endpoint , wodurch die manuelle Korrelationslücke zwischen NDR- und EDR-Telemetrie geschlossen wird. Microsoft Defender for Endpoint Stitching ist für das erste Halbjahr 2026 geplant, und die bestehende MDE-Integration unterstützt bereits die Anreicherung des Host-Kontexts und die Host-Sperrung. SentinelOne bietet bidirektionalen Metadatenaustausch und Sperrfunktionen. Bei allen drei Lösungen Attack Signal Intelligence diese Verhaltensweisen auf Host-Ebene mit dem Netzwerkkontext des Kontos und des Geräts und wendet dabei eine Dringlichkeitsbewertung an, die Kontoberechtigungen, die Breite der lateralen Bewegung und die Geschwindigkeit berücksichtigt.
Ein Analyst bei RUX erhält keine isolierte „Who-am-I“-Warnmeldung. Stattdessen erhält er eine priorisierte Entitätsansicht, die das betreffende Konto, die von ihm betroffenen Ressourcen, die Privilegienauflistung im Vergleich zur Baseline sowie den Dringlichkeitswert anzeigt – alles an einem Ort, ohne dass zwischen Registerkarten gewechselt werden muss.
Rechteausweitung: Prozessabweichungen im Netzwerk
Die Ausführung von Prozessen auf SYSTEM-Ebene im Anschluss an eine Korrekturmaßnahme von Defender führt zu erkennbaren Anomalien. Ein Prozess, der mit SYSTEM-Rechten im Ordner „Bilder“ eines Benutzers gestartet wird und ausgehende Verbindungen zu Infrastrukturen herstellt, auf die er keinen Zugriff haben sollte, ist ein potenzieller Erkennungsfall für mehrere Vectra-Modelle: verdächtige Prozess-Netzwerk-Bindungen, anomale Rechteerweiterung, ungewöhnliche Muster bei ausgehenden Verbindungen.
Die KI von Vectra verknüpft diese Signale in Echtzeit über wechselnde IP-Adressen und Sitzungskontexte hinweg. Sobald ein Analyst die Untersuchung in RUX eröffnet, ist das Angriffsdiagramm bereits zusammengestellt – der ursprünglich kompromittierte Host, das Ereignis der Berechtigungserweiterung in Korrelation mit dem EDR-Signal auf Prozessebene sowie alle seitlichen Verbindungen, die von der neu erweiterten Sitzung aus initiiert wurden.
UnDefend: Degradation als Erkennungssignal
Hier kommt der Vorteil von NDR am deutlichsten zum Tragen. Ein endpoint , dessen Leistung durch UnDefend beeinträchtigt wird, verliert zunehmend an Zuverlässigkeit – was bedeutet, dass die Erkennungslücke auf Host-Ebene mit der Zeit immer größer wird. Vectra ist nicht auf dieses Tool angewiesen, um die Transparenz aufrechtzuerhalten. Die Referenzwerte für das Netzwerkverhalten bleiben unabhängig vom Zustand endpoint erhalten.
Konkret bedeutet dies: Wenn UnDefend als untergeordneter Prozess von cmd.exe unter dem Explorer läuft und mit dem Flag „-agressive“ ausgeführt wird, handelt es sich um eine solche anomale Eltern-Kind-Prozessbeziehung, die EDR-Integrationen innerhalb von RUX als Erkennung durch Drittanbieter aufzeigen. In Verbindung mit Mustern zur Unterdrückung ausgehender Defender-Updates auf Netzwerkebene wird das Signal zu einem hochgradig zuverlässigen Hinweis, der sich schnell untersuchen lässt.
Antwort: Mit einem Klick zur Eindämmung
Dank der integrierten Reaktionsfunktionen von RUX – mit nur einem Klick kann auf CrowdStrike, Microsoft Defender for Endpoint oder SentinelOne umgeschaltet werden – muss ein Analyst, der einen aktiv ausgenutzten Host identifiziert, nicht zu einer separaten Konsole wechseln. Maßnahmen wie die Sperrung des Hosts, die Sperrung von Konten und die Netzwerkisolierung können direkt aus der Untersuchungsansicht heraus durchgeführt werden.
Für Unternehmen, die Vectra MXDR einsetzen, umfasst diese Reaktionsfähigkeit eine Rund-um-die-Uhr-Betreuung durch Analysten. Ein Angriffsversuch um 2 Uhr morgens an einem Samstag wartet nicht auf die üblichen Geschäftszeiten.
Was das in der Praxis bedeutet
Zwei dieser drei Sicherheitslücken sind zum Zeitpunkt der Erstellung dieses Artikels noch nicht behoben. RedSun funktioniert auch auf vollständig gepatchten Systemen vom April 2026. Für UnDefend gibt es keinen Patch. Das Zeitfenster für Angriffe schließt sich nicht so schnell.
Die Unternehmen, die diese Phase der Sicherheitsrisiken am besten überstehen werden, sind diejenigen, die über eine Netzwerktransparenz verfügen, die unabhängig von der endpoint funktioniert. Die Verhaltensmuster dieser Exploits – Ermittlung von Berechtigungen, Anomalien bei SYSTEM-Prozessen, Unterdrückung von Defender-Updates, ungewöhnliche Aktivitäten zwischen Prozessen und dem Netzwerk – lassen sich alle über die Netzwerk- und Identitäts-Telemetriedaten erkennen, die die Vectra AI kontinuierlich analysiert.
Für Sicherheitsteams, die ihre aktuelle Sicherheitslage im Hinblick auf diese spezifischen Bedrohungen bewerten, lautet die Frage ganz einfach: Wenn mein EDR von RedSun erfolgreich ausgenutzt wird und Zugriff auf Systemebene hergestellt wird, wie sieht dann meine nächste Erkennungsstufe aus? Wenn die Antwort ein weiteres Tool beinhaltet, das auf denselben endpoint angewiesen ist, besteht eine echte Sicherheitslücke.
Installieren Sie alle verfügbaren Patches. Installieren Sie die Updates vom April 2026, um die BlueHammer-Sicherheitslücke zu schließen. Achten Sie auf Verhaltensindikatoren für RedSun und UnDefend auf Netzwerkebene. Stellen Sie außerdem sicher, dass das Tool, das das Netzwerk überwacht, keine gemeinsame Vertrauensgrenze mit dem angegriffenen Tool teilt.
Erfahren Sie, wie Vectra AI Aktivitäten nach einer Kompromittierung Vectra AI
Wenn Sie verstehen möchten, wie die Vectra AI in einer Live-Umgebung Privilegieneskalationen, Prozessanomalien und laterale Bewegungen aufdeckt, sind dies die besten Ausgangspunkte.