BEDROHUNG
Eine Zero-Day-Schwachstelle in Microsoft Windows kann Angreifern erweiterte Rechte im System verschaffen. Der mutmaßliche Entdecker dieser Lücke verweist in einem anonym eingerichteten Blogpost auf ein github-Repository unter dem Handle „Nightmare Eclipse“ mit einem Proof-of-Concept-(PoC)-Code, das den „BlueHammer“-Exploit enthält.
Will Dormann, ein bekannter IT-Sicherheitsforscher, konnte bereits bestätigen, dass der Exploit funktioniert und unter Windows 11 zu System-Rechten, unter Windows-Servern zu Admin-Rechten führt. Die Schwachstelle setzt laut Dormann bei Windows-Defender-Updates an.
Der Entdecker selbst erklärt nicht, wie der Exploit genau funktioniert. Seine Veröffentlichung als Zero-Day-Exploit scheint auf Frustration hinsichtlich der Zusammenarbeit mit dem Microsoft Security Response Center (MSRC) zu beruhen. Microsoft hat derzeit noch kein Update dazu veröffentlicht, auch ein CVE-Eintrag steht noch aus.
Was jetzt zu tun ist:
- Überwachung (ungewöhnlicher) Defender-Update-Prozesse
- Überwachung typischer Pfade hinsichtlich Privilege-Escalation
PRÄVENTION & DETECTION
Die aktuelle „Blue Hammer“‑Schwachstelle wird aktiv ausgenutzt, ohne dass zuvor IOCs oder technische Details bekannt waren. Genau solche Zero‑Day‑Angriffe zeigen, wie wichtig moderne, verhaltensbasierte Endpoint‑Security ist.
EDR-Lösungen, wie Sentinel One oder Microsoft Defender, prüfen auf verdächtige Zugänge. Edpoint Detection and Response macht Angriffe sichtbar, verständlich und beherrschbar, um moderne Cyberangriffe zu erkennen.
Autor: Michael Niers
