Windows-Exploits, Forscher

Windows-Exploits: Forscher umgeht BitLocker und Defender

14.06.2026 - 00:14:45 | boerse-global.de

Neue Exploits zielen auf Microsofts Kernprodukte. Der Juni-Patchday schließt über 200 Lücken, darunter eine bestätigte BitLocker-Schwachstelle.

Sicherheitslücken in Windows: BitLocker und Defender im Visier
Windows-Exploits - A glowing padlock icon digitally overlaid on a shattered computer screen, with binary code in the background, symbolizing data security vulnerabilities. 14.06.2026 - Bild: über boerse-global.de

Der Forscher Nightmare Eclipse veröffentlichte Mitte Juni Exploit-Codes, die BitLocker-Verschlüsselung und Microsoft Defender umgehen sollen. Die Angriffe zielen auf Kernfunktionen von Windows 10 und 11 ab – und stellen Unternehmen wie Privatanwender vor neue Herausforderungen.

Anzeige

Windows 10 stürzt ständig ab? Diese 5 Fehler machen fast alle Nutzer. Ein kostenloser Report zeigt, wie Sie die häufigsten Windows-Probleme in wenigen Minuten selbst beheben. 5 Windows-Probleme jetzt selbst lösen

Umstrittener BitLocker-Bypass und Defender-Exploit

Am 12. Juni 2026 veröffentlichte der Sicherheitsforscher einen Exploit namens GreatXML. Dieser soll die BitLocker-Verschlüsselung aushebeln, indem er die Windows-Wiederherstellungsumgebung (WinRE) und Dateien von Microsoft Defender Offline-Scans manipuliert. Die Methode kopiert manipulierte Dateien in die Wiederherstellungspartition des Systems, um unbefugten Zugriff zu erlangen.

Doch die Wirksamkeit von GreatXML ist umstritten. Der renommierte Sicherheitsexperte Will Dormann konnte den Bypass auf mehreren Windows-11-Versionen nicht reproduzieren. Sein Befund: Der Exploit benötigt Administratorrechte, um den erforderlichen Defender Offline-Scan auszulösen. Besitzt ein Angreifer jedoch bereits Admin-Rechte, könnte er BitLocker auch über die normalen Verwaltungstools deaktivieren – der Exploit wäre damit für reale Angriffe weitgehend nutzlos.

Ein zweiter Exploit namens RoguePlanet zielt auf eine sogenannte TOCTOU-Race-Condition (Time-of-Check to Time-of-Use) in Microsoft Defender ab. Bereits am 10. Juni veröffentlicht, ermöglicht dieser Angriff einem lokalen Nutzer, auf vollständig gepatchten Windows-10- und Windows-11-Systemen SYSTEM-Rechte zu erlangen. Der Angriff erfolgt über eine VHD- oder VHDX-Datei. Microsoft bestätigte, die Vorwürfe zu untersuchen – ein Patch für diese spezifische Schwachstelle lag zum Zeitpunkt der Veröffentlichung nicht vor.

Juni-Patchday schließt kritische Lücken

Die Veröffentlichungen von Nightmare Eclipse fallen mit dem Juni-Patchday von Microsoft zusammen. Am 12. Juni 2026 brachte der Konzern 206 Sicherheitsupdates. Darunter war auch ein Fix für eine bestätigte BitLocker-Schwachstelle mit der Kennung CVE-2026-50507.

Anzeige

Windows 11 macht Probleme? Diese 5 Fehler können Sie ab sofort selbst beheben. Kein IT-Techniker nötig – ein kostenloser Report zeigt, wie es geht. Kostenlosen Erste-Hilfe-Report für Windows 11 herunterladen

Diese Sicherheitslücke mit einem CVSS-Score von 6,8 erlaubt es einer Person mit physischem Zugriff auf ein Gerät, verschlüsselte Daten ohne Passwort zu lesen. Betroffen sind vor allem Systeme mit sogenannten „TPM-only"-Konfigurationen unter Windows 10, Windows 11 und Windows Server. Der Patch ist nun verfügbar – Experten empfehlen jedoch grundsätzlich die Nutzung einer TPM+PIN-Konfiguration, um solche physischen Zugriffsrisiken zu minimieren.

Der Juni-Update-Zyklus schloss zudem mehrere andere Schwachstellen, die Nightmare Eclipse zuvor offengelegt hatte – darunter die mit den Codenamen RedSun, UnDefend, BlueHammer, YellowKey und GreenPlasma.

Weitere kritische Schwachstellen geschlossen

Neben den BitLocker- und Defender-Problemen adressierte das Juni-Updatepaket mehrere weitere hochprioritäre Sicherheitslücken:

  • CVE-2026-45657: Eine Windows-Kernel-Schwachstelle für Remote-Codeausführung (RCE) mit einem kritischen CVSS-Score von 9,8.
  • CVE-2026-45586: Eine Rechteausweitung im Collaborative Translation Framework.
  • CVE-2026-49160: Eine Denial-of-Service-Schwachstelle in HTTP.sys.

Branchenanalysten stufen mehrere dieser Updates unter die Kategorie „Sofort patchen" für Windows, Office und Exchange ein. Trotz der hohen Anzahl von Fixes berichtete Microsoft, dass keine der drei öffentlich bekannten Zero-Day-Lücken vom 12. Juni zum Zeitpunkt der Ankündigung aktiv ausgenutzt wurde – allerdings gelten sie als wahrscheinliche Kandidaten für zukünftige Angriffe.

Der Forscher Nightmare Eclipse hat in den vergangenen Monaten insgesamt acht Zero-Day-Exploits gegen verschiedene Windows-Komponenten veröffentlicht. Branchenbeobachter sehen die anhaltenden Enthüllungen als Teil eines anhaltenden Streits zwischen dem Forscher und Microsoft über Offenlegungsfristen und Patch-Zeitpläne.

de | wissenschaft | 69536411 |