- *Drei Zero-Days in Microsofts Defender. Zwei davon ungepacht. Einer davon lässt Angreifer den Virenscanner ohne Adminrechte abschalten.**
Das ist die Lage seit dem 17. April 2026 — bestätigt durch Huntress Labs, eines der renommiertesten Endpoint-Security-Unternehmen im Markt.
Der Angreifer braucht kein Administrator-Konto, keine Malware, keine Drittanbieter-Lücke. Er braucht nur Windows — mit aktiviertem Microsoft Defender.
Was passiert gerade?
Hinter allen drei Schwachstellen steckt ein einziger Forscher: "Chaotic Eclipse" veröffentlichte Proof-of-Concept-Exploits auf GitHub — nach eigenen Angaben, weil Microsoft seine Disclosure-Meldungen ignoriert oder feindselig behandelt hatte.
- *BlueHammer (CVE-2026-33825):** Ein Local Privilege Escalation-Bug in Defenders Signatur-Update-Mechanismus. Per Race-Condition-Angriff auf den Shadow-Copy-Prozess erreicht ein unprivilegierter Nutzer SYSTEM-Level-Zugriff — inklusive Zugang zum Security Account Manager (SAM) mit lokalen Passwort-Hashes. Gepatcht im April-Patch-Tuesday 2026.
- *RedSun:** Ebenfalls Privilege Escalation, diesmal via Defenders Cloud-File-API. Unabhängig durch Security-Forscher Will Dormann bestätigt. Kein Patch verfügbar. Huntress dokumentierte erste Exploitation am 16. April 2026 — auf einem System, das über ein kompromittiertes SSLVPN-Konto angegriffen wurde.
- *UnDefend:** Die dreisteste der drei. Ein Standardnutzer ohne erhöhte Rechte kann Microsoft Defender dauerhaft abschalten — ohne Adminrechte, indem er Signatur-Updates blockiert. Kein Patch verfügbar. Das vermeintliche Schutzschild wird zur leeren Hülle.
Patch-Tuesday-Kontext: 163 CVEs in einem Monat
Microsofts April-2026-Patch-Tuesday war der zweitgrößte aller Zeiten: 163 gepatchte Schwachstellen, acht davon kritisch. Bei diesem Volumen gehen Prioritäten unter. Dass zwei aktiv ausgenutzte Exploits keinen Fix bekommen haben, ist kein Zufall — es ist ein Kapazitätsproblem.
Die Investment-Perspektive
Dieser Vorfall ist kein Ausreißer. Er ist symptomatisch für einen strukturellen Shift im Endpoint-Security-Markt.
1. Microsoft ist nicht das Problem — es ist das Signal
Microsoft ist kein schlechtes Unternehmen. Aber ein Unternehmen, das gleichzeitig Betriebssystem, Virenscanner, Cloud-Plattform und Office-Suite verantwortet, hat strukturelle Interessenkonflikte bei der Sicherheitspriorisierung. UnDefend — die Möglichkeit, Defender ohne Adminrechte dauerhaft abzuschalten — ist kein Randproblem. Es ist ein Systemversagen.
- *Investment-Implikation:** OS-unabhängige Endpoint-Security-Anbieter profitieren, wenn das Vertrauen in Microsofts native Schutzmechanismen kippt.
2. Huntress Labs: Der stille Gewinner
Huntress Labs war das erste Unternehmen, das die aktive Exploitation von RedSun und UnDefend öffentlich bestätigte. Das Unternehmen ist privat, zuletzt mit über 1,5 Milliarden Dollar bewertet (Series D, 2024), und fokussiert auf Managed Detection and Response für den KMU-Markt — genau die Zielgruppe, die sich kein eigenes SOC-Team leisten kann und am härtesten von Defender-Ausfällen getroffen wird.
Huntress-Kunden blieben bei einem UnDefend-Angriff geschützt — weil Huntress nicht auf Defender-Signaturen angewiesen ist, sondern auf verhaltensbasierte Erkennungsmethoden. Dieser USP wurde in dieser Woche sichtbar.
3. Das EDR-Upgrade-Argument wird stärker
Viele Unternehmen im KMU-Segment setzen ausschließlich auf Microsoft Defender — aus Kostengründen oder weil er im Windows-Lizenzpaket enthalten ist. Dieser Vorfall wird, ähnlich wie die CrowdStrike-Outage 2024, als Beschleuniger für EDR-Investitionen außerhalb des Microsoft-Ökosystems wirken.
Die Nutznießer: Anbieter mit verhaltensbasierter Threat Detection, die unabhängig vom OS-Hersteller operieren. Öffentlich gelistete Namen in diesem Segment: SentinelOne ($S), im europäischen Markt Atos Eviden. Dazu kommen private Anbieter wie Trellix und Sophos (hält F-Secure MDR).
4. Responsible Disclosure als Regulierungsrisiko für Big Tech
"Chaotic Eclipse" sagt explizit: Microsoft hat seine Meldungen ignoriert. Also ging er an die Öffentlichkeit. Das ist kein Einzelfall — es ist ein systemisches Muster, das EU- und US-Regulierer zunehmend im Blick haben.
In der EU läuft die Umsetzung des Cyber Resilience Act (CRA), der Software-Hersteller zu strengeren Disclosure-Prozessen und Sicherheits-SLAs verpflichtet. Anbieter, die Vulnerability-Management frühzeitig professionalisiert haben, sind regulatorisch im Vorteil — ein weiteres Argument gegen integrierte Plattformen, die OS, Antivirus und Cloud in einer Hand bündeln.
Risiken und Gegenargument
Microsoft wird patchen. Der öffentliche Druck auf RedSun und UnDefend ist zu hoch, als dass Redmond das ignorieren könnte. Und Microsofts Sicherheitsinvestitionen sind nicht trivial: 20 Milliarden Dollar für FY2025 angekündigt. Wer auf dauerhaften Reputationsschaden setzt, unterschätzt die Resilienz des Konzerns.
Die Investment-These ist deshalb keine Anti-Microsoft-These. Sie ist eine Pro-Diversifikation-These: Wenn der meistgenutzte Endpoint-Schutz der Welt innerhalb von 48 Stunden zweimal aktiv angegriffen wird — ohne verfügbaren Patch — steigt der Wert unabhängiger, mehrschichtiger Sicherheitsarchitekturen. Das ist ein struktureller Trend, kein episodischer.
Fazit
Drei Zero-Days in Microsoft Defender innerhalb einer Woche, zwei noch ungepacht, aktive Exploitation dokumentiert — das ist Investment-relevante Nachrichtenlage, keine reine Technik-Meldung. Der Vorfall stärkt die These für unabhängige EDR-Anbieter, verhaltensbasierte Erkennungssysteme und Managed Detection & Response.
Die Frage ist nicht, ob Microsoft patcht. Die Frage ist, wie oft dieses Szenario noch eintreten muss, bis CISOs die "kostenlose" Defender-Option neu kalkulieren.
Wer EDR-Anbieter außerhalb des Microsoft-Ökosystems auf der Watchlist führt, hat heute ein weiteres Argument.
- Disclaimer: Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Alle Investitionsentscheidungen erfolgen auf eigenes Risiko.*
