Defender-Lücke RedSun: Version jetzt prüfen

Wenn die Schutzsoftware selbst zum Einfallstor wird

Auf praktisch jedem Windows-Rechner im Mittelstand läuft Microsoft Defender — die Schutzsoftware, die im Hintergrund nach Schadcode sucht und ihn abfängt. Genau diese Software war im Frühjahr 2026 selbst betroffen: Eine Schwachstelle in Defender ließ sich nutzen, um die vollständige Kontrolle über ein Gerät zu übernehmen. Und sie wurde nicht nur theoretisch beschrieben, sondern bereits aktiv ausgenutzt.

Der Juni-Patchday von Microsoft hat diese Lücke geschlossen. Defender aktualisiert sich in der Regel von selbst — doch genau auf dieses „in der Regel" kommt es an. Es gibt Geräte, die sich nicht zuverlässig aktualisieren, und gerade dort bleibt die Lücke offen, bis jemand aktiv nachsieht.

Dieser Beitrag erklärt, was hinter der Schwachstelle steckt, warum sie ernst zu nehmen ist — und wie Sie in wenigen Schritten prüfen, ob Ihre Geräte den Schutz bereits erhalten haben.

Auf einen Blick

• Die Schwachstelle **CVE-2026-41091** (Codename „RedSun") in **Microsoft Defender** erlaubt eine Rechteausweitung bis hin zu vollständigen **SYSTEM-Rechten**.
• Sie wurde **aktiv ausgenutzt** — die US-Behörde CISA hat sie am **20. Mai 2026** in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen.
• Geschlossen wird sie durch ein **Defender-Plattform-Update** mit der Sicherheits-Definition **1.453.20.0** (oder neuer), verfügbar ab dem **10. Juni 2026** als Teil des Juni-Patchdays.
• Defender aktualisiert sich meist automatisch — kritisch sind Geräte, die **selten online**, abgeschottet oder restriktiv konfiguriert sind.
• Der konkrete Handlungsschritt: die installierte **Defender-Version prüfen** und sicherstellen, dass sie auf dem Stand 1.453.20.0 oder höher ist.

Was „Rechteausweitung" bedeutet

Die Schwachstelle gehört zum Typ Elevation of Privilege, übersetzt: Rechteausweitung. Um zu verstehen, warum das gefährlich ist, hilft ein Blick darauf, wie Windows mit Berechtigungen umgeht.

Auf einem Windows-System hat nicht jeder Vorgang die gleichen Rechte. Ein normales Benutzerkonto darf vieles — aber nicht alles. Tief in das System eingreifen, Schutzfunktionen abschalten oder Programme dauerhaft verankern darf nur das höchste Konto: SYSTEM. Diese Trennung ist eine der wichtigsten Schutzmauern überhaupt.

Eine Rechteausweitung durchbricht genau diese Mauer. Ein Angreifer, der zunächst nur eingeschränkte Rechte hat — etwa durch ein gekapertes Standardkonto oder über Schadcode, der mit wenig Berechtigung startet — verschafft sich darüber die vollen SYSTEM-Rechte. Ab diesem Punkt gibt es praktisch keine Grenze mehr: Schutzsoftware lässt sich abschalten, Daten abgreifen, weitere Schadsoftware dauerhaft einnisten.

Die Einstufung CVSS 7.8 (Important) spiegelt das wider. Sie liegt nicht in der höchsten Stufe, weil der Angreifer bereits einen Fuß auf dem Gerät haben muss. Sobald das aber gegeben ist, ist die Wirkung vollständig.

Wie die Lücke ausgenutzt wurde

Das Heikle an CVE-2026-41091 ist die Mechanik — sie nutzt eine Schutzreaktion von Defender gegen ihn selbst.

Vereinfacht läuft es so ab: Ein Angreifer ohne besondere Rechte legt eine präparierte Datei an einer Stelle ab, die Defender überwacht. Defender erkennt die Datei als auffällig und reagiert, indem er sie an einen geschützten Ort zurückschreibt — ein Vorgang, der normalerweise der Bereinigung dient. Bei diesem Zurückschreiben vergibt Defender jedoch SYSTEM-Rechte. Der Angreifer lenkt diesen Schritt so, dass am Ende eigener Code mit SYSTEM-Rechten ausgeführt wird. Das Ergebnis ist die vollständige Übernahme des Geräts.

Genau dieser Ablauf macht die Schwachstelle so unangenehm: Die Schutzfunktion selbst liefert die erhöhten Rechte. Der Sicherheitsforscher, der die Lücke am 15. April 2026 offenlegte, gab ihr den Namen „RedSun". Wenig später bestätigte sich, dass sie nicht nur in Laboren, sondern in echten Angriffen verwendet wurde — was zur Aufnahme in den CISA-Katalog am 20. Mai 2026 führte. Dieser Katalog listet ausschließlich Schwachstellen, für die eine aktive Ausnutzung belegt ist.

Warum „Defender aktualisiert sich doch selbst" nicht reicht

Der naheliegende Einwand lautet: Microsoft Defender hält sich automatisch aktuell — also ist das Problem doch ohnehin gelöst. Für die Mehrzahl der Geräte stimmt das auch. Das schützende Update, die Definition 1.453.20.0, wurde mit dem Juni-Patchday ab dem 10. Juni 2026 verteilt und landet auf gut gewarteten Rechnern in der Regel ohne Zutun.

Die Lücke liegt bei den Ausnahmen. In jedem gewachsenen Unternehmensbestand gibt es Geräte, die sich eben nicht zuverlässig selbst aktualisieren:

• Rechner, die nur selten eingeschaltet oder mit dem Internet verbunden sind — etwa ein Reserve-Notebook oder ein Gerät im Lager.
• Systeme in abgeschotteten Netzbereichen, die bewusst keinen direkten Internetzugang haben.
• Restriktiv verwaltete Geräte, bei denen Update-Mechanismen eingeschränkt oder über eine zentrale Verwaltung gesteuert werden — und dort möglicherweise hängengeblieben sind.

Bei genau diesen Geräten kann die Defender-Version monatelang veralten, ohne dass es jemandem auffällt. Und weil die Schwachstelle bereits aktiv ausgenutzt wird, ist ein ungepatchtes Gerät hier kein theoretisches Restrisiko, sondern eine offene Tür.

Einzuordnen ist das Ganze in einen größeren Rahmen: Der Juni-2026-Patchday war mit rund 200 geschlossenen Schwachstellen ungewöhnlich umfangreich. Sicherheitsforscher meldeten dabei auch weitere Schwächen in Defender. Die hier beschriebene, aktiv ausgenutzte und per Juni-Patch geschlossene Lücke ist jedoch konkret CVE-2026-41091 „RedSun" — diese Nummer ist der Bezugspunkt, wenn Sie den Patch-Stand prüfen oder prüfen lassen.

Was Sie jetzt tun sollten

Das Thema klingt technisch — die nötigen Schritte sind überschaubar:

• Die Defender-Version prüfen. Maßgeblich ist die installierte Sicherheits-Definition: Sie sollte 1.453.20.0 oder höher lauten. Diese Angabe lässt sich in den Windows-Sicherheitseinstellungen unter den Informationen zum Viren- und Bedrohungsschutz einsehen. Liegt die Version darunter, fehlt der Schutz noch.
• Selten genutzte Geräte gezielt einschalten und aktualisieren. Gerade Reserve-Notebooks, Lagergeräte und selten verbundene Rechner sollten einmal hochgefahren und mit dem Netz verbunden werden, damit Defender die aktuelle Definition nachladen kann.
• Restriktiv verwaltete Systeme im Blick behalten. Wo Updates zentral gesteuert werden oder Geräte abgeschottet sind, lohnt eine bewusste Kontrolle, ob die Definition 1.453.20.0 dort tatsächlich angekommen ist.
• Das automatische Update der Defender-Plattform nicht blockieren. Es ist der zuverlässigste Weg, solche Lücken zeitnah zu schließen. Wer es aus Versehen oder per Richtlinie eingeschränkt hat, sollte das prüfen.
• Im Zweifel den Patch-Stand verifizieren lassen. Ob jedes Gerät im Bestand die schützende Version erhalten hat, prüft am verlässlichsten der zuständige IT-Dienstleister — besonders dann, wenn mehrere Standorte oder eine zentrale Geräteverwaltung im Spiel sind.

Fazit

CVE-2026-41091 ist ein deutliches Beispiel dafür, dass auch die Schutzsoftware selbst Schwachstellen haben kann — und dass „läuft automatisch" und „ist tatsächlich aktuell" nicht dasselbe sind. Für die Mehrheit der gut gewarteten Geräte ist die Lücke mit dem Juni-Patchday bereits geschlossen.

Der entscheidende Schritt bleibt, sich nicht allein darauf zu verlassen, sondern bei den Ausnahmen nachzusehen: bei den Geräten, die selten online sind oder restriktiv verwaltet werden. Dort entscheidet sich, ob aus einer geschlossenen Schwachstelle doch ein offenes Risiko wird.

Wenn Sie nicht sicher sind, ob alle Ihre Geräte den aktuellen Defender-Stand erhalten haben, prüfen wir das für Sie: Wir verifizieren den Patch-Stand über Ihren gesamten Bestand, bringen zurückgebliebene Geräte auf den aktuellen Stand und behalten künftige Sicherheitsupdates im Blick — ohne Unterbrechung im Tagesgeschäft.