Eine als „BlueHammer" bekannte Schwachstelle in Windows Defender wird derzeit aktiv in Ransomware-Kampagnen eingesetzt. Das hat die US-amerikanische Cybersicherheitsbehörde CISA durch Aufnahme in ihren Katalog bekannter ausgenutzter Schwachstellen bestätigt. Bemerkenswert: Microsoft hatte den Patch bereits im April veröffentlicht – die Lücke ist also längst schließbar. Trotzdem zeigt die aktive Ausnutzung, dass zahlreiche Systeme noch immer verwundbar sind.
Was hinter BlueHammer steckt
BlueHammer (CVE-2026-33825) ist eine Race Condition im Windows-Defender-Dienst. Eine Race Condition entsteht, wenn ein Programm zwei zeitkritische Operationen nicht sauber voneinander trennt und ein Angreifer genau in diesem Zeitfenster eingreifen kann. Im Fall von BlueHammer reicht ein kleines Skript – in der Praxis nicht mehr als ein Doppelklick – um eine Shell mit SYSTEM-Rechten zu erlangen. SYSTEM ist die höchste lokale Privilegienstufe unter Windows: Wer dort landet, kontrolliert den Rechner vollständig.
Besonders heikel ist das im Kontext von Ransomware. Normale Erpressungssoftware verschlüsselt Datendateien und fordert dann ein Lösegeld. Mit SYSTEM-Rechten können Angreifer jedoch tiefer in das System eingreifen und auch Betriebssystemdateien oder den Bootvorgang verschlüsseln. Das Ergebnis wäre ein Rechner, der sich nicht einmal mehr starten lässt – ein deutlich gravierenderes Szenario als „nur" verschlüsselte Dokumente.
Patch vorhanden – und doch viele Systeme ungeschützt
Microsoft hat den Patch am 14. April 2026 im Rahmen der regulären Windows-Updates veröffentlicht. Die Aktualisierung ist Teil der normalen Update-Funktion und erfordert keine gesonderten Schritte. Technische Hürden gibt es also keine.
Das eigentliche Problem ist das Patch-Tempo. Laut einem aktuellen Bericht des Sicherheitsanbieters Absolute vergehen bei kritischen Betriebssystem-Patches im Durchschnitt 127 Tage, bis sie auf privaten Geräten installiert werden – das sind über vier Monate. Selbst in Unternehmensumgebungen liegt der Durchschnittswert bei 76 Tagen, also rund zweieinhalb Monaten. Das sind Mittelwerte: Die Hälfte der Geräte bleibt demnach noch länger ungepatcht.
Hinzu kommt die Situation rund um Windows 10. Schätzungen zufolge laufen noch 15 bis 26 Prozent aller Windows-Geräte mit dieser Version. Microsoft hat zwar die kostenpflichtigen Sicherheitsupdates (Extended Security Updates) bis Oktober 2027 verlängert – das Angebot ist allerdings wenig bekannt, weshalb ein erheblicher Teil dieser Geräte praktisch unversorgt bleibt.
Warum das Timing besonders alarmierend ist
Zwischen der Veröffentlichung des Patches (14. April) und der CISA-Warnung (Ende Juni) lagen nur rund sechs Wochen. Das ist ein vergleichsweise kurzes Intervall: In dieser Zeit sind Ransomware-Gruppen bereits aktiv geworden und nutzen die Schwachstelle in laufenden Kampagnen aus. Wer also seit April noch kein Update eingespielt hat, ist in dieser Zeit ein potenzielles Angriffsziel gewesen.
Erschwerend kommt hinzu, dass die Schwachstelle auf ein Werkzeug abzielt, dem viele Nutzer und Organisationen als Schutzmaßnahme vertrauen: Windows Defender. Eine Lücke in der Sicherheitssoftware selbst hat psychologisch eine andere Qualität als eine Schwachstelle in einem Drittanbieter-Tool.
Was Sie jetzt tun sollten
Die Maßnahme ist klar und einfach: Stellen Sie sicher, dass alle Windows-Systeme in Ihrer Umgebung auf dem aktuellen Patchstand sind. Der BlueHammer-Fix ist Bestandteil der regulären Windows-Updates vom April 2026. Konkret empfehlen wir:
Patchstand prüfen: Kontrollieren Sie auf allen Windows-Geräten, ob das April-2026-Update installiert ist – insbesondere auf Geräten, die länger offline waren oder auf denen Updates manuell verzögert wurden.
Windows 10 besonders im Blick behalten: Geräte mit Windows 10 sollten entweder auf Windows 11 aktualisiert oder für die Extended Security Updates (ESU) angemeldet werden.
Update-Prozesse kritisch hinterfragen: Wenn in Ihrer Umgebung kritische Patches regelmäßig erst nach Wochen oder Monaten ausgerollt werden, sollten Sie den Patch-Management-Prozess überprüfen.
Systeme auf Anomalien prüfen: Da BlueHammer bereits aktiv ausgenutzt wird, lohnt ein gezielter Blick in Systemprotokolle auf auffällige Aktivitäten mit SYSTEM-Berechtigungen.
Haben Sie Fragen zum Update-Management in Ihrer IT-Umgebung oder möchten Sie Ihre Patch-Prozesse professionell absichern? Das FameSystems-Team hilft Ihnen gerne weiter.